Фигурирующий в деле о госизмене сотрудник ФСБ в прошлом был хакером

Третий фигурант дела о госизмене, по которому проходят сотрудник «Лаборатории Касперского» и офицер ФСБ, оперативник Дмитрий Докучаев, ранее был хакером. По этой причине его завербовали в ФСБ, говорят источники РБК

Майор Центра информационной безопасности (ЦИБ) ФСБ Дмитрий Докучаев, об аресте которого по делу о госизмене стало известно в четверг, 26 января, в прошлом был хакером, рассказали РБК два собеседника, знакомых с ходом расследования. По их словам, примерно до середины 2000-х годов Докучаев был специалистом по кибербезопасности и взлому, а пользователи Сети знали его под именем Forb​.

В 2004 году Forb дал интервью газете «Ведомости» и сообщил, что он родился в Екатеринбурге в 1984 году. «Я всегда считал, что информация должна быть свободной, поэтому платить провайдеру за предоставление доступа ужасно не хотелось», — отмечал хакер.

Он говорил, что специализировался на взломе по заказу, а самым большим достижением считал взлом правительственного сайта США. «Несмотря на сложность взлома, мне удалось обойти тамошний брандмауэр и успешно осуществить атаку», — вспоминал Forb.

Про свой доход хакер говорил, что за месяц он мог заработать как $100, так и $1000, а самым прибыльным направлением работы он называл кардинг — воровство денег с чужих кредитных карт. «Среднестатистический кардер может зарабатывать от $5000 до $30 000 в месяц. Но это самое опасное киберпреступление, за которое нещадно наказывают. И в последнее время довольно успешно», — подчеркивал хакер.

Кардинг стал причиной, по которой Докучаев попал в поле зрения ФСБ, отмечают два источника РБК. По их словам, хакер был завербован под угрозой уголовного преследования и перешел на работу в спецслужбу. Один из собеседников подчеркнул, что это обычная практика: в ЦИБ ФСБ хватает сотрудников, которые в прошлом были хакерами.

Как минимум до 2005 года Докучаев был также редактором рубрики «Взлом» в журнале «Хакер». Главный редактор «Хакера» Илья Русанен не смог ни подтвердить, ни опровергнуть информацию о том, что экс-сотрудник издания и оперативник ФСБ — это один и тот же человек. В разговоре с РБК Русанен отметил, что не взаимодействовал с Докучаевым, поскольку возглавил издание только два года назад, а из старой команды никто в журнале сейчас не работает.

Всего по делу о госизмене (ст.275 УК), оперативным сопровождением которого занимается управление собственной безопасности ФСБ, проходят четыре человека. Имена двоих из них ранее называл «Коммерсант» — это заместитель главы ЦИБ ФСБ Сергей Михайлов и сотрудник «Лаборатории Касперского» Руслан Стоянов. Все они были арестованы в декабре 2016 года, однако до сих пор избрание им меры пресечения РБК не подтвердили ни в одном суде Москвы.

По версии ФСБ, Михайлов получил деньги от одной из иностранных организаций при посредничестве сотрудника российской компании в сфере информационной безопасности. Как рассказал источник РБК, близкий к руководству ФСБ, офицер Центра информационной безопасности ФСБ был задержан во время заседания коллегии ведомства в декабре. По словам источников «Новой газеты», на голову Михайлову надели светонепроницаемый мешок.

Газета отмечала, что Михайлов попал в поле зрения следователей после того, как США обвинили владельца компании King Servers Владимира Фоменко в кибератаке на избирательные системы в штатах Аризона и Иллинойс. Источники «Новой» утверждали, что американские спецслужбы получили эту информацию именно от Михайлова.

«Новая» отмечает, что Докучаев — один из хакеров группировки «Шалтай-Болтай». «Подтверждения причастности россиян к атаке серверов в США установить не удалось, зато оперативникам УСБ ФСБ удалось вплотную подобраться к группировке хакеров «Шалтай-Болтай», прославившихся взломами личных переписок Дмитрия Медведева, вице-премьера Аркадия Дворковича, чиновников администрации президента, Минобороны, Роскомнадзора», — говорится в материале.

В центре общественных связей ФСБ не ответили на запрос РБК.

«Анонимный интернационал» («Шалтай-Болтай»)

Под этим названием группа известна с декабря 2013 года (к этому времени относятся первые записи на ее сайте и в Twitter (https://twitter.com / b0ltai) — и тот, и другой сейчас заблокированы на территории России). «Анонимный интернационал» занимается продажей информации со взломанных мобильных устройств и почтовых аккаунтов российских политиков и бизнесменов.

В разное время группа продавала или публиковала переписки премьер-министра России Дмитрия Медведева, заместителя начальника управления по внутренней политике администрации президента России Тимура Прокопенко, главного редактора телеканала Life Арама Габрелянова, главы Роскомнадзора Александра Жарова. Последним лотом, выставленным группой на продажу на анонимной бирже Joker.buzz, стала переписка бизнесмена Константина Пономарева, известного судами с компанией IKEA в России. Этот лот был опубликован в июне 2016 года и оценивается в 50 биткоинов (на январь 2017 года — около 2,7 млн руб.).

РБК

Лицом к лицу с хакером

Кто они такие?

20-летний Forb живет в Екатеринбурге. Учится на четвертом курсе университета, работает системным администратором на кафедре. Профессионально занимается программированием, администрирует несколько серверов. Не женат, хотя длительное время встречается с девушкой. Помимо компьютеров увлекается спортом.

Тяга к хакерству возникла у Forb, когда он впервые подключился к небольшой локальной сети. “Я всегда считал, что информация должна быть свободной, поэтому платить провайдеру за предоставление доступа ужасно не хотелось”, – вспоминает он. Вместе с тремя “единомышленниками” он стал искать бреши в защите серверов своего провайдера. “С помощью одной крупной дырки мы стащили базу всех клиентов компании, затем занялись распределенной расшифровкой паролей и стали сидеть на халяву. После этого случая у меня возникло желание попасть внутрь других серверов”, – рассказывает Forb.

Пару лет назад Forb ушел из группы. “Не люблю, когда меня обязывают к чему-либо, поэтому и работаю в одиночестве”, – объясняет он. Сегодня он специализируется на том, что принято называть net hack (взлом по сети), по заказу, а когда выпадает свободное время – и просто ради спортивного интереса. Своим самым большим достижением он считает взлом правительственного сайта США. “Несмотря на сложность взлома, мне удалось обойти тамошний брандмауэр и успешно осуществить атаку”, – вспоминает Forb.

Другой представитель компьютерного андеграунда, называющий себя Sp0Raw, живет в Санкт-Петербурге. Он старше, чем Forb, но свой возраст скрывает. И вообще не любит распространяться о себе. Учился в нескольких университетах: вначале на математика-программиста, потом по специальности “защищенные системы связи”. “Никогда нигде официально не работал, не имею ИНН и трудовой книжки, но при этом не имею материальных проблем”, – улыбается Sp0Raw. Холост, старается не поддерживать длительных отношений, “так как это мешает работе, а также создает лишние пути давления”. Интересуется мировой историей спецслужб и геополитикой.

Главный мотив его работы – деньги. Основная специализация – reverse engineering (обратная инженерия), т. е. изучение и восстановление программного кода до исходных текстов. На ней базируются почти все направления хакерской среды: взлом защит программного обеспечения, поиск уязвимостей в серверных и клиентских программах, разработка вирусных технологий, мешающих проведению анализа кода и противодействию информационному оружию, анализ прошивок различных электронных устройств и создание их программных и аппаратных эмуляторов.

Sp0Raw работает главным образом в одиночку. О своих “успехах” не распространяется, переадресовывая этот вопрос в УФСБ по Санкт-Петербургу и Ленинградской области: “Думаю, они неплохо осведомлены на данный счет, с учетом огромного количества действующих информаторов вокруг“.

Что почем

Деньги за хакерскую работу платят заказчики. Одни – за подсадку вредоносной программы на сервер конкурентов, другие – за украденную базу данных. У Forb доход непостоянный. “Раз на раз не приходится: иногда за месяц зарабатываешь $1000, а порой и $100 не наберется. Далеко не все заказы успешно выполняются – все чаще приходится иметь дело с образцовыми серверами”, – сетует хакер.

Forb считает самым прибыльным направлением хакерского бизнеса кардинг [воровство денег с чужих кредитных карт]. “Среднестатистический кардер может зарабатывать от $5000 до $30 000 в месяц. Но это самое опасное киберпреступление, за которое нещадно наказывают. И в последнее время довольно успешно”, – говорит он.

Правда, Sp0Raw называет классическое кардерство практически вымершей темой, отмечая, что на первое место вышла разновидность виртуального мошенничества, связанная с проникновением в систему финансовых структур и кражей электронных денег.
Еще одним выгодным направлением деятельности Forb считает рассылку спама, однако Sp0Raw отмечает, что серьезные доходы в этом бизнесе получают только представители верхушки.

Sp0Raw подчеркивает, что заработки представителей компьютерного андеграунда сильно различаются в зависимости от их специализации и уровня квалификации. В некоторых регионах работа кракеров [людей, взламывающих защиту программ от несанкционированного копирования] оценивается всего в $150–500 за заказ. Правда, взлом обеспечения для профессиональных программно-аппаратных комплексов, используемых в промышленности, может стоить от $1000 до $15 000 (в среднем $1000–3000).
Некоторые сетевые хакеры пишут программы для проникновения в систему и продают их по $400–600 за штуку. “Скорее это дополнительный заработок для студентов, чем профессиональная работа”, – говорит Sp0Raw. По его словам, хорошая работа по заказам на получение закрытой информации тянет в среднем на $2000–20 000, но вполне реальны и большие суммы. Взлом популярных ресурсов с размещением там компрометирующей информации оценивается в $10 000–40 000.

Средний “заработок” DDoS-вымогателей [заваливающих корпоративные веб-сайты ложными запросами и требующих деньги за отказ от подобных атак] составляет $10 000–50 000. По мнению Sp0Raw, это самый рискованный вид деятельности, ведь вымогателям грозит не только серьезный срок, но и физическая расправа со стороны их жертв.

Работа фрикеров [людей, взламывающих защиту железа – телефонных сетей, кассовых или игровых автоматов] также очень рисковая, но высокооплачиваемая, считает Sp0Raw. Самые интересные, по мнению Sp0Raw, – это фродеры [виртуальные мошенники]. Верхний потолок заработка у профессионалов, занимающихся откровенным воровством, практически не ограничен. В среднем заработок составляет $50 000–250 000 за операцию.

Как это делается

Деятельность хакера для непросвещенных окружена ореолом таинственности. Познания обывателя скорее позаимствованы из голливудских фильмов, изображающих неопрятного человека, что-то быстро набирающего на компьютере. В действительности все не совсем так. Вот как схематически описывает свой “типичный взлом” Forb.

“Когда мне поступает заказ на конкретный ресурс, я залезаю на сайт и начинаю тыкаться во все ссылки. Если среди них находится сценарий, который имеет входные параметры, я пробую изменять опции с целью вызова непредвиденной ситуации. Если мне повезло – добиваюсь командного режима, удаленно получаю абсолютные права, останавливаю межсетевой экран (в случае необходимости)”, – говорит Forb.

Если такая лобовая атака не приносит результатов (а так бывает очень часто), Forb проверяет наличие сетевого экрана, сканирует открытые порты. Все доступные службы тщательно анализируются, а затем ищется exploit (программа, использующая недоработки в системе). “При удачном стечении обстоятельств я получаю локальный доступ. Если не повезло – сканирую всю подсеть, в которой расположена атакуемая машина. Разумеется, что все активные действия (в частности, локальные атаки) проводятся в ночное время”, – добавляет он.

Forb говорит, что обычно взлом сервера занимает от нескольких часов до нескольких дней. Если в течение недели ему не удается добиться желаемых результатов, он сообщает, что заказ выполнить невозможно.

Sp0Raw делит проникновение в защищенную систему на несколько этапов: сбор и анализ информации о системе в целом, разработка возможных путей проникновения (включающая тестирование атаки на подконтрольной системе похожей конфигурации) и непосредственное проникновение.

Реализация этого алгоритма, по словам Sp0Raw, может варьироваться от примитивной (выявление открытых портов, версий программного обеспечения, поиска существующих решений под них) до творческой, когда проникновение может совершаться не на сам объект, а через личные компьютеры работников компании или дружественную компанию, с которой идет обмен информацией и т. п.
Sp0Raw отмечает интересный способ вторжения, когда на объекте обнаруживают несущественную дыру, через которую реально нельзя получить необходимый уровень доступа, но все же дыра есть дыра. Злоумышленники подготавливают проект с информацией по устранению данной дыры, связываются с администратором сайта (или службой информационной безопасности компании) и указывают на данную брешь. При устранении проблемы системщики “жертвы” пользуются предложенной информацией, которая, в свою очередь, обеспечивает черный ход для входа в систему. Переписка и просмотр чужих веб-страниц могут быть опасными для сотрудников компании.

Хакеры и закон

Иногда хакеров вычисляют, и тогда им приходится объясняться со своими жертвами.

У Forb был случай, когда провайдер заметил утечку данных и связался с ним. Пришлось решить проблему с помощью денежной компенсации. Теперь он поступает хитрее. “Часто службы безопасности взломанных мной компаний отсылают письма администратору моего proxy-сервера [анонимного сервиса, с помощью которого проводятся хакерские атаки]. Имея доступ к этому почтовому ящику, я пишу ответ, где объясняю, что взлом происходил через мою машину, на которую проникли зарубежные хакеры. В качестве доказательства высылаю подложные журналы с IP-адресами “хакеров”. Как правило, этим столкновением все и ограничивается”, – делится опытом Forb.

Сейчас он чувствует себя в безопасности. “Как правило, вместо компетентных органов расследованием взломов занимается обычный сотрудник милиции, который понятия не имеет, чем живет хакер, – считает Forb. – Поэтому традиционные методы защиты помогают полностью избежать конфликтов с российскими и тем более зарубежными органами”. Быть может, у хакерской верхушки с безопасностью все обстоит иначе, оговаривается он.

И действительно, Sp0Raw отмечает, что в последнее время у хакеров возникают проблемы с органами, поскольку с 1997 г. накоплено много оперативной информации, которая постепенно может превращаться во вполне конкретные уголовные дела. Зачастую хакеры, попавшие в поле зрения властей, решают свои проблемы, сотрудничая с правоохранительными органами, что создает проблемы для других. “Думаю, вполне реально и в России дождаться таких времен, когда ФСБ начнет проводить операции, напоминающие те, что успешно проводит в последнее время ФБР в сотрудничестве с западными спецслужбами других стран: когда в разных городах в разных странах одновременно проводилось огромное количество арестов, обысков и т. д.”, – предупреждает Sp0Raw.

Изменения на “сцене”

Вслед за специалистами по компьютерной безопасности Forb отмечает сращивание хакерства (некогда окруженного ореолом романтики и благородства) с организованной преступностью. “В последнее время хакерство тесно связано с получением прибыли. Если заказчик приказывает убрать правительственный сайт, его убирают. В случае, когда кому-либо понадобится секретная база данных, ее достают из самых защищенных мест. Причем можно предположить, что добытые данные будут использованы для проведения теракта или коммерческой махинации”, – сетует Forb.

“Раньше хакерские группы организовывались скорее как клубы по интересам. Люди занимались примерно одним и тем же и просто обменивались опытом, объединяли усилия в решении каких-либо задач, – вспоминает Sp0Raw. – Сейчас же организация групп часто строится для работы по конкретным делам”. Если после выполнения нескольких совместных дел группа оказывается состоявшейся, она может существовать достаточно долго и заниматься своей деятельностью безнаказанно, потому что внешние контакты по делам ограничены: все специалисты есть внутри группы. Остались и группы, построенные по старым принципам, но там “воспитываются” новички, которые, набравшись опыта на работе из интереса, начинают задумываться о превращении своих способностей в материальные блага.

“Если вы считаете, что хакерство, которое служит для зарабатывания денег, чем-то отличается от криминала, вы ошибаетесь. Хакерство – приложение криминала к информационной среде. Это информационный интеллектуальный криминал”, – говорит Sp0Raw.
Причем здесь тоже существует иерархия по квалификации и уровню дел. “Есть мошенники, которые выводят со счетов компаний всего по $500–5000, а есть DDoS-вымогатели, зарабатывающие до $50 000 за одно дело, но живущие не очень долго, есть script kiddies (“детишки”, использующие чужие наработки для взлома систем), которые не осознают ответственности за свои дела… Если проводить аналогии с обычным миром, все они напоминают простую шушеру, которая гоп-стопит в информационной среде”, – считает Sp0Raw.

Происходящее в невидимой части Интернета напоминает Sp0Raw Россию 12-летней давности. “Сейчас идет первичное накопление капиталов у людей, которые, вероятно, никогда не имели бы такой возможности, работая легально. Интеллектуальная преступность гораздо неуловимее ее обыденного собрата. В дальнейшем накопленные средства будут инвестированы во вполне обычные коммерческие проекты, некоторые из которых существуют уже сейчас”, – предсказывает он.

Ведомости

Добавить комментарий