Криминалисты из интернета

Криминалисты из интернета

Илья Сачков и его партнеры создали крупнейшего частного игрока на рынке расследований киберпреступлений. Услугами Group-IB пользуются известные компании и спецслужбы

В апреле 2009 года основатель Group-IB Илья Сачков оказался в подмосковном пансионате «Лесные дали», где проходила ежегодная IT-конференция «РИФ+КИБ». Прогуливаясь по холлу, он высматривал новых клиентов. Неожиданно ему позвонили и попросили вернуться в Москву: со счета столичной строительной компании украли 9 млн рублей, и Сачкову предстояло выяснить, кто это сделал. Обычная работа.

Вскоре он уже отдавал распоряжения в офисе этой фирмы на Ленинском проспекте: вызвать полицию, отключить компьютеры от сети, собрать все ноутбуки. На столе выросла горка «железа», которое предстояло отвезти в лабораторию для поиска следов вирусного заражения. Взгляд Сачкова привлек один из ноутбуков — он был приоткрыт. Детектив пробежал глазами письмо в Outlook: владелец ноутбука, местный сисадмин, недавно обналичил похищенные в компании деньги. «Это было самое быстрое расследование в моей жизни, — улыбаясь, рассказывает Forbes Сачков. — Просто нам тогда сильно повезло».

Созданная 10 лет назад компания Group-IB специализируется на расследовании и предотвращении преступлений в компьютерной сфере. Если не считать отделы расследований больших интернет-компаний вроде «Лаборатории Касперского», работающих на внутренние потребности компаний, Group-IB является крупнейшим в России частным кибердетективным агентством. Компьютерных криминалистов здесь больше, чем в соответствующем подразделении Экспертно-криминалистического центра МВД России. За три года, по данным компании, выручка Group-IB выросла более чем в 10 раз, прогноз Сачкова на 2013 год — $36 млн.

«ШТУЧНЫЙ ТОВАР»

Офис Group-IB расположен на территории бывшего завода в районе метро «Электрозаводская», без провожатого здесь легко заблудиться. На каждой двери электронные замки, и даже если сам гендиректор пришел без электронного пропуска — стучи не стучи, внутрь не пустят. Сердце компании, компьютерная криминалистическая лаборатория, занимает совсем небольшое помещение, 4 на 10 м. Десяток столов с мониторами, стеллажи с оборудованием, проводами, компьютерами. Обычный с виду черный чемоданчик — на самом деле мобильный криминалистический комплекс стоимостью около полумиллиона рублей, изготовленный в Израиле. Он позволяет мгновенно считать информацию с цифрового устройства. Подсоединив к нему смартфон, детективы увидят всю переписку с него, даже в Skype, а по точкам подключения Wi-Fi и координатам сделанных фотоснимков смогут составить карту перемещений абонента. Выпотрошив таким образом телефон одного из участников банды, грабившей дальнобойщиков в Ленинградской области, детективы Group-IB получили информацию об остальных налетчиках и передали ее полиции.

Возраст кибердетективов — 20–30 лет, каждый, по словам Сачкова, «штучный товар», ведь ни один российский вуз не выпускает криминалистов по расследованию компьютерных преступлений.

Чтобы найти сотрудников, глава Group-IB ходит в институты, читает лекции и проводит олимпиады по компьютерной криминалистике. Костяк компании составляют выходцы из родного для Сачкова МГТУ им. Баумана. Всех кандидатов на работу проверяют на «полиграфе», а также с использованием «управляемой провокации»: время от времени подставные «клиенты» предлагают продать информацию налево или выдать нужную экспертизу. «За многие годы не было ни одного прокола», — с гордостью говорит Сачков.

А риск есть: криминалисты Group-IB однажды наблюдали за хакером, который на кражах в интернет-банкинге зарабатывал до $20 млн в месяц, соблазн для неустойчивых людей слишком велик. Особенно с учетом того, что средняя зарплата детектива — 70 000–100 000 рублей в месяц. Есть бонусы: корпоративные курсы английского, боевые искусства, йога и даже деньги на покупку делового костюма для встреч. Но костюмы чаще висят в шкафах, детективы предпочитают им джинсы и футболки.

ДЕТЕКТИВНЫЙ СТАРТАП

Зимой 2003 года первокурсник факультета защиты информации МГТУ им. Баумана Илья Сачков перед самой сессией попал в Боткинскую больницу. Вместо учебников друзья принесли ему в палату книжку бывших сотрудников ФБР Криса Просиса и Кевина Мандиа Incident Response: Investigating Computer Crime. Речь в ней шла о компьютерной криминалистике — в США это был уже сложившийся и прибыльный бизнес. Сачкову идея понравилась.

Хакеры-романтики первой волны, взламывающие сайты скорее из спортивного интереса, к тому времени остались в прошлом. С начала 2000-х взломщики начали активно монетизировать свои навыки. «Заработать и оставаться как можно дольше незаметными — вот ради чего они стали работать», — вспоминает то время эксперт по информационной безопасности Cisco Systems Алексей Лукацкий.

Киберпреступники объединялись, появлялись свои партнерские программы, службы поддержки, биржи, кадровые службы и даже свой арбитраж. У крупных группировок была четкая специализация: например, «Балаковская» группа устраивала DDoS атаки на британских букмекеров, вымогая деньги за их прекращение. Другие осваивали «карточный бизнес» — кражу данных кредитных и дебетовых карт, деньги с которых воровались или тратились на заказы в интернет-магазинах. Третьи начинали громить онлайн-банкинг за рубежом — в России системы дистанционного банковского обслуживания в то время еще не были развиты.

Частных расследователей в этой области в России не было совсем, монополия на расследования киберпреступлений была у Бюро специальных технических мероприятий (БСТМ) МВД и Центра информационной безопасности (ЦИБ) ФСБ. Сачков вспоминает, что как-то на конференции познакомился с офицером из управления «К», расследующего киберпреступления, и спросил, можно ли попасть к ним на работу.

Милиционер, смерив студента взглядом, покачал головой: «У нас нет вакансий». И Сачков решил основать свою компанию.

Деньги на открытие бизнеса, $5000, дал старший брат,  «Бауманка» выделила комнату под лабораторию. Первыми сотрудниками стали однокурсники Ильи — два из них до сих пор работают в компании: Дмитрий Волков возглавляет отдел расследований, Игорь Катков — технический директор. Первый существенный контракт у Group-IB появился лишь через несколько месяцев. Топ-менеджеру крупной российской нефтяной компании на корпоративную почту пришли письма с угрозами опубликовать компрометирующие фотографии. «Расследование заняло две недели, вычислили сотрудницу компании, которая, используя прокси-сервера в Голландии, шантажировала своего босса», — вспоминает Сачков. Гонорар компенсировал вложенные $5000, и даже осталась небольшая прибыль.

Корпоративный шпионаж, утечка информации, несанкционированный вход в почту, взломы сайтов — первые кейсы были интересны, но не приносили большой прибыли. В то время расследование в среднем стоило около $10 000–40 000. «Банки нас боялись из-за нашего агрессивного маркетинга и молодости коллектива, по той же причине в МВД вначале к нам относились с большим недоверием: как студенты могут проводить расследования?» — вспоминает Сачков.

Компания пыталась продвигать свои услуги на Западе и даже достигла определенных успехов. «Мы общались с иностранными коллегами, старались помогать в их расследованиях, часто помогали нейтрализовать опасные ботнеты и таким образом попали в  зарубежную тусовку криминалистов», — рассказывает Сачков. С Microsoft, например, Group-IB сотрудничает с 2007 года. «Мы считаем наших коллег ведущими экспертами в области киберпреступности в стране», — говорит Людмила Теплова, представитель Microsoft в России. Американцы привлекают Group-IB для обнаружения и нейтрализации ботнетов, исследования вредоносных программ и т. д. Сумму контракта ни Group-IB, ни Microsoft не разглашают.

Но вплоть до конца 2000-х годов детективному стартапу отчаянно не хватало специалистов, оборудования и, главное, денег для развития. В 2010 году все это появилось — благодаря хакерам.

ИНВЕСТОРЫ И ХАКЕРЫ

В 2010 году хакеры взломали один из сайтов Leta Group, представлявшую в России словацкую антивирусную компанию ESET. «Мои айтишники локализовали угрозу, но на вопрос, кто это сделал и зачем, ответить не смогли», — вспоминает основатель и совладелец компании Leta Group Александр Чачава. За ответом он пришел в офис Group-IB, где тогда работало человек 15, и они ему сразу понравились. «Хакеры зарабатывали на темной стороне гигантские деньги, а эти ребята наступали им на горло», — поясняет Чачава, решивший стать совладельцем Group-IB.

Осенью 2010 года Чачава и его однокурсник Сергей Пильцов стали владельцами половины Group-IB — через ООО «Группа информационной безопасности». По 25% в OOO получили Чачава и Пильцов, 20% принадлежало Илье Сачкову, по 10% — еще трем сотрудникам-основателям. Выручка Group-IB в 2010 году составила $3 млн.

По сути это были инвестиции в стартап: у Group-IB не было выстроенного маркетинга и даже четких расценок за услуги, а у новых инвесторов — никакой стратегии выхода, говорит Чачава. Он вспоминает, как спорил с Сачковым по поводу оплаты одного расследования для банка, за которое Group-IB запросила 50 000 рублей. «Я спрашиваю: почему так мало? А они: да это же заняло всего полтора дня. Говорю: вы же сэкономили банку миллион долларов, возьмите хотя бы 7%, как страховая», — вспоминает Чачава.

Сколько денег они с партнером потратили на покупку доли и развитие Group-IB, он не сказал (Сачков тоже отказался говорить об этом). Топ-менеджер одной из российских IT-компаний оценивает сделку в $2 млн — примерно столько ежегодно инвестирует в стартапы Leta Capital, венчурный фонд Leta Group.

Деньги Leta Group позволили увеличить штат Group-IB впятеро, до 70 человек, открыть офисы в Нью-Йорке и Сингапуре и закупить оборудование, включая те самые «чемоданчики».

Как смотрят на это соответствующие органы? До 2010 года Group-IB чаще всего делала экспертизы для МВД и ФСБ бесплатно, говорит Сачков. Три года назад государство все же начало оплачивать экспертизы: деньги приходят по разовым договорам, в среднем около 300 000 рублей, что в общем укладывается в рыночные расценки ($10 000–15 000). «Бесплатно сейчас делаем только экспертизы по интересным для нас кейсам — не больше 5–10 бесплатных экспертиз в квартал», — уточняет Сачков.

Кроме того, в Group-IB есть бывшие сотрудники силовых ведомств. «Но у нас все же преобладают гражданские, бывших сотрудников Экспертно-криминалистического центра МВД не больше 5–6 человек», — говорит Сачков. «Бывшие» со связями необходимы в этом бизнесе. «В США частное лицо может получить значок помощника шерифа и разыскивать бандитов или киберпреступников, у нас западную модель воспроизвести невозможно», — говорит Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. «Если посмотреть наш закон о частной детективной деятельности, так в России ее вообще быть не должно», — добавляет он. Сам Стоянов в 2006 году в звании майора ушел в свободное плавание, несколько лет его компания самостоятельно занималась расследованиями, а в 2012-м вошла в состав «Лаборатории Касперского». Мелкие частные компании в этом бизнесе не выживут, уверен Стоянов, это бизнес больших корпораций. В его отделе всего шесть сотрудников, но он может пользоваться всеми ресурсами «Лаборатории», компании с выручкой $628 млн в 2012 году и штатом 2800 человек.

Свесившись с крыши на веревках, спецназовцы в черных касках и бронежилетах вместе с выломанной рамой ввалились в окно 15-го этажа. «Звон падающих стекол, крики «На пол!», подозреваемый ползал по полу в трусах и визжал», — красочно описывает в своем отчете криминалист Group-IB Артем Артемов финальную стадию операции по задержанию весной 2012 года одного из лидеров хакерской группы Carberp. От хакеров пострадали клиенты 100 банков по всему миру, только в I квартале 2012-го они похитили минимум 130 млн рублей.

Момент захвата детективы Group-IB наблюдают как зрители, их основная работа сделана раньше. Когда преступники задержаны, криминалисты Group-IB проводят экспертизу их компьютеров и серверов, чтобы найти связи с преступлением. «Наша задача — предоставить аналитическую информацию и выстроить логику расследования, если ее не видят сотрудники полиции», — объясняет глава отдела расследований компании Дмитрий Волков. После завершения расследования сотрудники Group-IB выступают свидетелями и экспертами в суде, но исход процесса может быть разный.

«Заказчики часто хотят конечный результат: вы получите деньги, как только мы увидим человека в тюрьме. Если не сел — поработали зря», — объясняет Руслан Стоянов. Почасовая плата за расследование в России не принята, чаще работу оплачивают поэтапно. Компьютерная криминалистическая экспертиза у Group-IB стоит $10 000–15 000, расследование с выездом на место происшествия, экспертизой и фиксацией цифровых следов, поиском преступников и их персональных данных — минимум $200 000–300 000. Но у частных детективов есть специфические риски. «Банк может заплатить за расследование кейса 8 млн рублей, а может и 2 млн. Говорят: бюджет такой, больше не можем», — говорит Сачков.

Расследование кибератаки занимает обычно один-два месяца. В сборе информации помогают не только социальные сети, но и агентурная сеть. «Мы есть на хакерских форумах, подпольных андеграундных площадках: смотрим, кто о чем пишет, кто чем занимается», — поясняет Сачков.

Если хакер украл базу, через несколько дней он обязательно выложит ее на продажу.

Те же методы используют спецслужбы: ФБР в свое время создало закрытый форум Market, которым хакеры активно пользовались вплоть до начала массовых арестов его участников.

Кибердетективы не имеют права проводить обыски, прослушивать телефоны и вести наружное наблюдение, но используют в своей работе те же методы сбора и анализа информации, что и спецслужбы. Кроме того, говорит Сачков, до 20% всех экспертиз Group-IB обеспечивают силовики — МВД, ФСБ, ФСКН и Следственный комитет. И иногда детективов обвиняют в том, что они дружат с «органами».

ДЕЛО ВРУБЛЕВСКОГО

В июле 2010 года на сайте «Аэрофлота» вдруг перестали проходить электронные платежи. Сервер процессинговой компании Assist, обслуживавшей авиаперевозчика, подвергся мощной DDoS-атаке и «лежал» девять дней. «Аэрофлот» считал убытки: компания потеряла не меньше 147 млн рублей.

Спустя год в аэропорту Шереметьево пограничники задержали загорелого мужчину, прилетевшего с женой и детьми с Мальдив. Это был Павел Врублевский, один из создателей процессинговой системы Chronopay, главный подозреваемый в деле об атаке на «Аэрофлот». Полгода Врублевский провел в СИЗО Лефортово, где написал признательные показания. Позже, выйдя под подписку о невыезде, заявил, что оговорил себя под давлением. Но суд в итоге приговорил Врублевского в июле 2013 года к 2,5 годам колонии, обвинив его в организации DDoS-атаки на своего конкурента, Assist.

Врублевский заявил в своем блоге, что его дело было сфабриковано, и обвинил привлеченных экспертов — «Лабораторию Касперского» и Group-IB — в необъективности.

«Обвинение стартовало именно с экспертизы Group-IB, в нашем деле она сыграла неблагоприятную роль», — говорит адвокат Врублевского Людмила Айвар. Она настаивает, что институт экспертов должен быть независим от ведомств. «Когда эксперт много лет работает с ФСБ, это называется «эксперт ведомства», у них уже устойчивые связи и они уверены в результате», — полагает Айвар. «Любой эксперт разобьет в пух и прах заказную криминалистику, и это будет конец бизнеса. Какой смысл ее делать? — возражает Сачков. — Я уверен, что Врублевский лично заказал DDoS. Это по-своему гениальный человек, но он оказался на темной стороне».

Слишком тесные отношения российских частных детективов со спецслужбами беспокоят не только Врублевского и его адвокатов. «Рынок расследования компьютерных инцидентов жестко контролируется государством, в частности ФСБ», — считает главный редактор Агентуры.ру Андрей Солдатов. По его данным, в последнее время несколько частных CERTов [компьютерных групп реагирования на чрезвычайные ситуации] должны были запуститься в России, но не запустились — все ждали, какие правила для этой деятельности напишет ФСБ. Учитывая непрозрачный характер отношений таких компаний с ФСБ, «абсолютно невозможно гарантировать, что специалисты этих компаний не будут работать по просьбе ФСБ, предоставляя свои мозги, экспертную оценку или технические мощности», — добавляет Солдатов. В ФСБ на вопросы Forbes о сотрудничестве с Group-IB не ответили.

СНОВА ОДНИ

«Мы не лезем в политику, не работаем по [Алексею] Навальному, не занимаемся шпионажем или информационными войнами между странами — все эти вещи могут помешать нашему международному бизнесу», — убеждает Сачков. Чем тогда объяснить, что бизнес компании за последние годы растет как на дрожжах? Если в 2011 году выручка, по данным компании, составила $5,3 млн, то в 2012-м — $14,2 млн, а по итогам 2013 года она составит $36 млн.

Group-IB научилась продавать свои услуги, объясняет этот взлет Сачков. Еще в 2012 году в коммерческом отделе компании работал один человек, сегодня — девять. «Мы не ждем, когда к нам обратятся, сами активно ищем клиентов». Изменилась и модель бизнеса: на расследования и экспертизы теперь приходится менее половины выручки, около 43%, а остальное приносят услуги по предотвращению преступлений, которые продают по подписке: мониторинг и защита брендов (Brand Point Protection, 26% доходов в структуре выручки), мониторинг ботнетов — зараженных компьютерных сетей (Bot-Trek, 12%), аудит по информационной безопасности (12%), консультации (7%), поясняет Сачков. «Бренд становился известнее, и мы увеличили стоимость услуг и сервисов».

Еще до того как Госдума в 2013 году приняла новый закон о борьбе с «пиратством», Group-IB стала предлагать свои услуги по защите авторских прав. Одним из первых клиентов на этом направлении в 2009 году стал Microsoft: Group-IB боролась с сайтами, нелегально распространяющими ее софт. Самый свежий контракт подписан несколько месяцев назад с компанией «Амедиа», представляющей интересы студий HBO, CBS, FOX, Sony.

«В рамках партнерства с «Амедиа» мы заблокировали 60 000 ссылок на их сериалы и фильмы. «Игра престолов» и «Во все тяжкие» — самые популярные сериалы у пиратов», — рассказывает сотрудник Group-IB Георгий Пуляевский.

Стоимость услуги по борьбе с онлайн-пиратством начинается от $10 000 в месяц в зависимости от того, идет фильм в прокате или премьера прошла и он является «библиотечным», поясняет Руслан Кривулин, руководитель направления Brand Point Protection.

C апреля 2013 года Group-IB стала партнером QIWI по поиску мошеннических сайтов, которые используют бренд компании или пытаются присвоить деньги пользователей. «Group-IB проводит оперативные действия с беспрецедентной скоростью не только в Рунете, но и по всей глобальной сети», — сказал Forbes директор по безопасности «Группы QIWI» Владимир Загрибелин. — Среднее время жизни мошеннического сайта в мировой практике составляет 5 дней, а среднее время закрытия такого сайта специалистами Group-IB — около 22 часов». Контракт по защите брендов приносит Group-IB $10 000–30 000 в месяц.

Несколько дороже ($5000–50 000 в месяц) стоят услуги мониторинга Bot-trek, поиск информации о клиентах банков и платежных систем, чьи логины, пароли, номера карт стали известны мошенникам. Детективы сообщают о «засвеченных» клиентах банкам, и те перевыпускают карты или просят сменить логины-пароли. Выстроить отношения с банками помог Артем Сычев, бывший научный руководитель Сачкова в «Бауманке», а сейчас заместитель начальника главного управления безопасности и защиты информации Банка России.

По словам Сачкова, Group-IB работает со всеми российскими банками из первой десятки, самый крупный — Сбербанк. «Со службой безопасности Сбербанка мы познакомились в 2010-м, когда обнаружили большую бот-сеть, созданную для хищения денег у клиентов. Мы бесплатно отправили в Сбербанк данные, попросили заблокировать клиентов. В итоге стали стратегическими партнерами», — вспоминает Сачков. В портфеле Group-IB — контракты с Альфа-банком, «Связным», ВТБ, «Возрождением».

Больше, чем банки, платят лишь горнодобывающие и нефтяные компании за мониторинг своей внутренней сети от заражения вредоносным программным обеспечением. Услуга Advanced Persistent Threat стоит $1,2–2 млн в год. Среди заказчиков Group-IB — «Газпром», «Роснефть», «Норильский никель», ТНК-BP.

Group-IB стала прибыльной в 2011 году, а в октябре 2013 года совладельцы Leta Group Чачава и Пильцов продали свои доли менеджерам компании во главе с Сачковым, которые получили для этого кредит в одном из российских банков. Сумму сделки стороны не называют (участники рынка оценивали пакет в $2 млн), но Чачава утверждает, что IRR составил 30%, он «получил сумму, которая соответствовала ежегодному увеличению моих первоначальных инвестиций на 30%. На 32%, если быть точным».

Развитие ситуации в стране всячески способствует бизнесу Group-IB. В октябре 2013 года Госдума приняла в первом чтении законопроект, расширяющий полномочия ФСБ в сфере информационной безопасности. Как объяснял спикер Сергей Нарышкин, проект закона направлен на пресечение преступлений с использованием IT-технологий.

«Для нас это хорошо. Чем больше расследований, тем больше будет заказов на экспертизы», — уверен Сачков.

По оценке самой Group-IB, ущерб от действий киберпреступников в России в 2012 году составил $1,9 млрд. Детективам есть куда расти.

ПАВЕЛ СЕДАКОВ

ФОТО ЮРИЯ ЧИЧКОВА ДЛЯ FORBES

ИСТОЧНИК: FORBES

Дикое киберполе

Дикое киберполе

Одесса стала неформальной столицей украинских взломщиков, и именно сюда приводят электронные следы громких хакерских атак 

В Одессе возле памятника Дюку на Приморском бульваре стоит двухэтажный автобус, но он никуда не едет. Внутри — бар. Коньяк здесь подают в пробирке, супчик — в мензурке. Ранний посетитель — мужчина в отглаженных брюках и остроносых ботинках, — махнув водки, подсаживается к журналисту из России и вызывается показать местные достопримечательности. Через полчаса разговора выясняется, что навязывающий себя гид — бывший офицер спецслужб, а его расспросы становятся открыто подозрительными.

Эта история вполне характерна для приморского города. «Одесса — удивительный город, там агент на агенте, и плетутся интриги спецслужб всего мира», — со знанием дела говорит основатель одного из российских подпольных форумов для web-мастеров. Спецслужбам есть на кого там охотиться. Одесса считается неформальной столицей украинских хакеров, и именно сюда последние годы приводят электронные следы громких международных хакерских атак, мошенничества в онлайн-банкинге, DDoS-атак на сайты российских госучреждений и компаний.

Несколько российских киберпреступников после облав в России нашли здесь убежище.

«Киберпреступность с самого начала своего существования тяготела к Одессе, — говорит Forbes Константин Корсун, 43-летний полковник, экс-офицер подразделения по борьбе с хакерами Службы безопасности Украины (СБУ).  — Могу лишь предположить, что это как-то связано с высокой степенью коррумпированности местных правоохранительных органов и их тесными связями с «традиционным» криминалитетом. А может, им [хакерам] там просто климат нравится, море, достаточно большой город, в котором легко затеряться». Forbes выяснил, кто и почему скрывается в Одессе.

Осколки Carberp

«Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: «На пол!», «Включите свет!» Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны», — вспоминает криминалист Group-IB Артем Артемов операцию по задержанию в Москве одного из лидеров хакерской группы Carberp. От ее действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го киберпреступники похитили минимум 130 млн рублей.

Чуть позже появилось и видео захвата: спустившись с крыши на веревках, бойцы спецназа МВД «Рысь» выломали раму и ввалились в окно 15-го этажа. Это произошло 4 марта 2012 года, а в мае того же года участник форума Antichat под ником GizmoSB написал встревоженный пост: «Какими средствами возможно вызвать бан ролика на ютуб? Может, жестко накрутить просмотры или DDoS определенного ролика даст результат?»

Под ником GizmoSB скрывался член той самой хакерской группы Carberp — 25-летний Роман, который, как считает следствие, отвечал за создание и функционирование бот-сети — цепи компьютеров, зараженных вредоносной программой. Всю техническую работу за Gizmo выполняли другие люди — вирусописатели,  программисты, но именно Gizmo давал заливщикам реквизиты компаний — они проверяли баланс клиентов банков, выжидая момент, когда лучше увести деньги. Руководителями группы заливщиков и группы обнала в Carberp были братья Александр и Николай Покорские.

Их отец, по словам источника Forbes, имел отношение к ГРУ Генштаба РФ.

Про самого GizmoSB известно немного. Он родился в Абхазии. Пока учился в одном из московских университетов, искал способы заработать, например, открыть ферму по разведению осетров. Но деньги принесла не рыба, а хакерские форумы. Роман начинал с DDoS-атак, которые приносили небольшой доход, в среднем около $100 в день. «С моими познаниями даже на мороженное не заработаешь)) мне просто нужен хороший поток траффика… очень большое количество траффика … 50-100 к в день», — писал Gizmo в сентябре 2008 года.

В тот год, считает следствие, и была создана группа Carberp, состоявшая минимум из 8 человек, которые за четыре года совершили тысячи хищений у компаний по всей России. Для комфортной работы «заливщиков» руководители группы открыли офис, замаскированный под сервис по восстановлению данных.

В марте 2012 года начались аресты — были задержаны восемь членов Carberp, в том числе и Gizmo, но позже его отпустили под подписку о невыезде. Хакер не стал дожидаться суда и уехал на родину в Абхазию. Через 5 месяцев он сделал поддельные документы на имя гражданина Литвы и вылетел в Кипр на встречу с беременной женой. В то время он уже был объявлен в федеральный, а затем и в международный розыск. Сейчас Gizmo находится на территории Украины и занимается поисковой оптимизацией. Не так прибыльно, но зато спокойно.

В чеченском плену

Деревянная бита, билет на поезд Москва — Киев, два российских паспорта на имя чеченцев из Урус-Мартановского и Шалинского районов, мобильный телефон, сим-карты, пара наушников, принтер HP, ноутбук и коммуникатор HTC. Все это вещественные доказательства по уголовному делу №1522/18915/12. В тексте приговора, который корреспонденты Forbes отыскали в реестре решений Приморского районного суда Одессы, нет ни фамилий, ни адресов. Только короткая фабула — неназванный компьютерщик из Москвы провел четверо суток в «чеченском плену».  Из Одессы его под охраной перевезли в Херсон, потом — в Симферополь и вернули назад в Одессу.

От пленника требовалось развернуть бот-сеть для кибератак и хищения денег в онлайн-банкинге, иначе похитители — суровые мужчины с Северного Кавказа — грозили переломать ему ноги битой.

Чеченцы знали, кто поможет им заработать в онлайне. В России Алексей «Pioneer» руководил заливщиками одного из подразделений хакерской группировки Carber. После того как в марте 2012 года ФСБ, МВД и детективы киберагентства Group-IB разгромили Carberp, Pioneer через Белоруссию сбежал на Украину и обосновался в Одессе.

«В Москве Gizmo и Pioneer вряд ли были знакомы, но их знали братья Покорские», — говорит источник, близкий к следствию. По его словам, Pioneer руководил заливщиками во второй ветке группировки Carberp. Алексею повезло: в день, когда происходили массовые задержания, его не оказалось дома. В Одессе, куда он бежал, хакера вычислили чеченцы. Пленнику удалось сделать звонок — и местные милиционеры его быстро нашли и освободили. Дело завершилось полюбовно: на суд Pioneer не ходил, претензий не выдвигал, чеченцам дали два года с отсрочкой исполнения приговора на три года и выпустили в зале суда. Pioneer по-прежнему находится на Украине, на вопросы Forbes через соцсети он не ответил.

«Всегда удобно прятаться за трансграничностью — воровать в одном месте, а прятаться в другом. У местных правоохранительных органов нет к тебе претензий, и они дают тебе дышать, — считает Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. — Атаки с Украины продолжаются. Последний тренд — взлом банковских систем. Ломают уже не клиентов банков, а уже из самих банков пытаются вывести крупные суммы».

«Хакерской столицей Одессу принято считать лишь потому, что здесь живу и работаю я», — заявил Forbes глава интернет-партии Украины Дмитрий Голубов. В начале нулевых Голубова обвиняли во взломе американских банковских систем и хищении $11 млн, а зарубежная пресса наделила его титулом «крестного отца» восточноевропейской хакерской мафии. «Я оправдан всеми судами, которые не нашли в моих деяниях состава преступления», — комментирует Голубов.

Кроме Голубова в Одессе есть еще несколько известных персонажей, замечает Дмитрий Волков, глава службы расследований детективного кибер-агентства Group-IB. Например, Legal-D — владелец одного из наиболее популярных сервисов по проведению DDOS-атак. На его сайте (который сейчас заблокирован) были указаны расценки: сутки от $50, месяц — от $1000. «Legal-D причастен ко многим политическим атакам, — говорит Волков. — Еще во время майдана он атаковал местные правительственные и новостные сайты. В последнее время Legal-D атаковал сайтыpolitikym.net,ura-inform.com, progorod.info, crime.in.ua.

Среди других местных интересных персонажей — Абдулла,  владелец одного из самых дорогих и надежных хостингов, которыми пользуются хакеры, кардеры, спамеры, создатели порно-ресурсов.

Когда-то он был участником нашумевшей киберпреступной группы RBN (Russian Business Network), но сейчас у него свой дата-центр, востребованный многими опасными киберпреступниками. Благодарные клиенты даже сочинили про Абдуллу песню: «Хостятся те, кто не любит класть бабки в банки. Те, кто знает, на что способен пластик с магнитной лентой…. Сервак не встанет и клиентам не о чем жалеть, ведь он пуленепробиваемый, как бронежилет».

«Абдулла давно пропал из Одессы, его видели в Иловайске, воющего в рядах одного из дагестанских ОПГ», — уверяет корреспондентов Forbes Голубов, и по тону его письма не понятно, говорит он серьезно или шутит. Но в оценках он категоричен: «Хакерское подполье в Одессе представлено тремя несовершеннолетними поцами, которых регулярно арестовывают за попытку взлома сайтов школ».

«Проделки американцев»

Во время одного из последних визитов в одесскую квартиру родителей Михаил Рытиков забрал все свои фотографии во взрослом возрасте. Вычистил и страницы в соцсети. А спустя несколько месяцев исчез. Рытикова объявил в розыск Интерпол. Его и несколько российских хакеров власти США обвиняли в краже данных 160 млн кредитных карт клиентов американских банков, магазинов, финансовых учреждений и даже биржы Nasdaq. «Мама, если случится что-то плохое, то я в этом не виноват — это все проделки американцев», — вспоминала в одном из интервью слова сына Людмила Рытикова.

В марте 2014 года американские сенаторы Марк Кирк и Марк Ворнер опубликовали заявление относительно киберпреступности на Украине. «Эксперты в области кибербезопасности говорят, что … украинский город Одесса имеет репутацию крупнейшего в мире интернет-рынка украденных кредитных карт», — говорится в заявлении. Сенаторы считают, что американские власти должны усилить совместную работу с украинской стороной, отправить на Украину агентов ФБР для помощи местным силовикам в поимке хакеров, а также усовершенствовать процедуру выдачи подозреваемых в США.

«Времена меняются, и Украина сейчас не самое спокойное место для хакеров, которые работают по США или Европе, — считает экс-сотрудник Центра информационной безопасности ФСБ. — Украина дружит с США, и им будет за счастье выдать гражданина России, попавшегося на киберпреступлении. Другое дело, если эти хакеры работают исключительно против России».

В Одессе борьбу с хакерами ведет Управление борьбы с киберпреступностью ГУМВД Украины в Одесской области, которое возглавляет Юрий Выходец. «Одесса — большой город, поэтому не удивительно, что у нас есть хакеры. Правда, говорить, что наш город — это столица, будет все же преувеличением. Это справедливо только в масштабах Украины, но никак не мира», — говорил в интервью украинскому ресурсу «Вести» Выходец. Попытки Forbes связаться с Выходцом не увенчались успехом, он постоянно был на совещаниях. Сейчас при попытке зайти на сайт Управления по борьбе с киберпреступностью Google выдает предупреждение о том, что сайт небезопасен — на нем происходит загрузка вредоносного ПО.

После присоединения Крыма и войны на юго-востоке Украины сотрудничество российских и украинских силовиков оказалось заморожено. На фоне этого украинские хакеры стали еще активнее атаковать российские госсайты и взламывать банковские счета, а специалисты по IT-безопасности — записываться в ополчение для защиты своего киберпространства.

В России весьма популярны истории о нелегальных кибергруппах, которые находятся на службе у ФСБ, СВР и АП: за работу на государство они получают индульгенцию за прошлые грехи.

Именно им приписывают массированные DDoS-атаки на cайты правительственных учреждений, банков, медиахолдингов Эстонии в апреле 2007 года и Грузии в августе 2008. «У нас в этом плане все намного хуже, потому что всех полухакеров сегодня приговоривают к реальным срокам, не предлагая им поработать на государство, — замечает Голубов. —  Правил индульгенции до сих пор нет, хотя я неоднократно это предлагал».  Глава интернет-партии сам баллотируется в Верховную раду и уже знает, какой закон нужен Украине.  «Я планирую внести законопроект о немедленном создании подобного органа [киберподразделения] на базе СБУ».

ПАВЕЛ СЕДАКОВ, ДМИТРИЙ ФИЛОНОВ
ИСТОЧНИК: FORBES