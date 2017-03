Союз ФСБ с хакерами был ещё и неплохой халтуркой. Что мы узнали про «Шалтай Болтай» благодаря расследованию ФБР В России аресты членов группировки и их кураторов из ФСБ начались прошлой осенью. Но нет шансов, что нам когда-нибудь расскажут, почему за ними на самом деле пришли. Зато по другую сторону Атлантики проведено масштабное расследование в связи со взломом серверов Yahoo!, и его материалы проливают некоторый свет на деятельность хакеров и офицеров ФСБ, имевших отношение к работе этой группировки. Благодаря усилиям американских кибер-сыщиков, кое-что становится понятнее в наших внутрироссийских новостях. На сайте Департамента юстиции США выложен скан 38-страничного обвинительного заключения в отношении четырёх «российских хакеров», обвиняемых во взломе американских почтовых серверов. Все обвинения посвящены эпизодам 2014-2016 годов. Двое из обвиняемых — офицеры ФСБ: арестованный в прошлом году по делу «Шалтая-Болтая» Дмитрий Докучаев и его начальник Игорь Сущин, с того же года разыскиваемый ФБР . Один из хакеров — коммерческий взломщик Алексей Белан, давно знакомый американскому правосудию: судами Невады и Калифорнии его арест санкционировался ещё в 2012 и 2013 годах в связи с крупными взломами тамошних сервисов. В 2013 он был даже задержан в Европе по американскому запросу, но вместо экстрадиции в США сумел сбежать в Россию. Согласно обвинительному заключению, Белан помогал своим кураторам из ФСБ, предоставляя им доступ к взломанным почтовым ящикам интересующих их россиян на почтовом сервере Yahoo!. Четвёртый обвиняемый — задержанный на днях в Канаде 22-летний Карим Баратов, уроженец Казахстана, который раньше ни в каких расследованиях и публикациях СМИ не фигурировал. Bloomberg накопал довольно любопытный профайл о его образе жизни . Пишут, что на деньги, заработанные хакерскими подвигами, юноша сумел выплатить ипотеку за двухэтажный дом в Канаде и купить несколько дорогих машин. Соседями характеризуется исключительно с положительной стороны: хороший товарищ, спортсмен, очень вежливый и доброжелательный молодой человек. Согласно материалам обвинения, к Баратову офицеры ФСБ обращались за помощью при взломе аккаунтов Gmail, от которых у Белана паролей не было. Канадский хакер осуществлял точечные фишинговые атаки на указанные заказчиком адреса, выманивал пароли жертв и передавал их Докучаеву, получая от него по 100 долларов за каждый взломанный таким способом ящик. В общей сложности Баратов по заказу своих московских клиентов взломал 80 ящиков Gmail. Знал ли он при этом, на кого работает, непонятно, но для целей обвинения это и не важно. Минюст США требует от Канады арестовать активы Баратова: «Мерседес», «Астон Мартин» и счёт в системе PayPal. Также аресту подлежит PayPal-аккаунт Дмитрия Докучаева. Из материалов дела непросто понять, почему американская пресса так настойчиво увязывает офицеров ФСБ со взломом Yahoo!. Есть очень сильное ощущение, что они эту историю выпячивают в заголовках, потому что их читателю взлом Yahoo! интересней слежки за какими-то там российскими госчиновниками, банкирами и оппозиционерами. Агентство Bloomberg в заголовке репортажа про Баратова поместило его at the Center of the Yahoo Hack, хотя в обвинительном заключении как раз ему-то никакие эпизоды, связанные с Yahoo, не инкриминируются. Если читать внимательно, то между нашумевшим «взломом Yahoo!», поставившим под сомнение даже сделку по продаже этого портала телекоммуникационному концерну Verizon, и действиями офицеров ФСБ причинно-следственная связь довольно косвенная. То есть ФСБ явно попаслась в ящиках абонентов Yahoo!, но нет уверенности, что базу изначально ломали за этим. Начать с того, что взломов Yahoo! было не один, а два. Второй, в ходе которого оказались скомпрометированы 500 миллионов аккаунтов пользователей сервиса, случился, как нам рассказывают, в 2014 году. О нём сообщила сама администрация портала, и эта новость наделала много шума в сентябре 2016, за несколько месяцев до того, как тема «русских хакеров», работающих на государство, вообще начала раскручиваться в СМИ. А был и другой взлом, более ранний и вдвое более серьёзный, предположительно — в 2013 году. О нём в августе 2016 года узнал и уведомил американские спецслужбы Андрей Комаров, специалист по разведке (Chief Intelligence Officer) из аризонской компании InfoArmor. Комаров отследил в даркнете непубличное предложение группы восточноевропейских хакеров, выставивших на продажу базу из 1 миллиарда адресов пользователей Yahoo!. За товар просили 300.000 долларов. Комарову удалось отследить три сделки с этой адресной базой. В двух случаях покупателями выступали известные спаммерские конторы. В третьем случае, судя по уточняющим вопросам к продавцу, базу купил представитель неустановленной разведслужбы, которого интересовала не возможность рассылать с её помощью спам, а содержание отдельных почтовых ящиков. Каким-то способом Комарову удалось перехватить базу, выставленную на продажу, и он передал её американским силовикам, которые к ужасу своему обнаружили там адреса и пароли 150.000 госслужащих, включая сотрудников ФБР, ЦРУ, NSA и Белого дома. С этой информацией спецслужбы пришли в Yahoo! — и тут выяснилось, что корпорация сама не подозревала об этой масштабнейшей утечке персональных данных во всей мировой истории. Узнав о взломе ещё в начале осени, представители Yahoo! не торопились объявлять о нём публично. Тогда Комаров сообщил о своих находках агентству Bloomberg и передал журналистам образцы данных из базы. В агентстве их проверили и обратились в Yahoo!. После этого корпорация публично признала и первый взлом, результатом которого стала утечка паролей от миллиарда ящиков, но от комментариев для Bloomberg отказалась, сославшись на то, что уже обсудила эту атаку с силовиками. Так вот, судя по данным обвинительного заключения против Сущина, Докучаева, Белана и Баратова, «доступ к 500 миллионам ящиков на Yahoo!» они действительно получили, но базой этой не торговали, и в сами 500 миллионов аккаунтов не заглядывали (хоть и скачали какую-то часть общей базы паролей к себе). О первом взломе 2013 года в обвинительном заключении вообще не упоминается (хоть и нельзя исключить, что «восточноевропейская группа» — всё те же наши знакомые). И далеко не все действия обвиняемых, фигурирующие в обвинительном заключении, обязательно инициированы ФСБ. По данным следствия, Алексей Белан не позже 2014 года поломал защиты Yahoo! и внедрился в почтовую систему портала на правах админа, преследуя свои собственные цели — преступные, но не шпионские. Выпуская фальшивые cookies от имени Yahoo!, он получил контроль над 30 миллионами ящиков, которые использовал для рассылки коммерческого спама. В отдельных ящиках он также искал номера кредитных карт и коды скидочных/подарочных сертификатов. Кроме того, Белан использовал свой административный доступ к серверам для перенаправления поискового траффика Yahoo! на сайт коммерческого рекламодателя (онлайн-фарма), который платил ему за переходы. Докучаев и Сущин могли знать об этой его деятельности, они могли даже быть там в доле, но это напрямую не связано с их службой в ФСБ. По служебной линии господа офицеры с помощью Белана залезли примерно в 6500 почтовых ящиков из пользовательской базы Yahoo! для осуществления слежки за их владельцами. Достаточно одной этой цифры, чтобы понять, что круг лиц, за которыми осуществлялась слежка, был чрезвычайно широк. В обвинительном заключении (насчитывающем 47 эпизодов) нет имён, но приведены примеры, за кем следили: российские журналисты, чиновники и оппозиционные деятели, члены правительства и Совфеда, американские госчиновники, сотрудники интернет-компаний России и США, политики «соседнего с Россией государства», предприниматели, акционеры и менеджеры «российской финансовой корпорации» и т.п. В одном из потерпевших трудно не признать Аркадия Дворковича, хотя должность его названа в заключении довольно комично: «заместитель председателя Российской Федерации». С этого места картинка становится уже трёхмерной, потому что мы тут можем сопоставить данные американского следствия с тем, что нам самим известно о деятельности «Шалтай-Болтая». Очевидно, за частью своих жертв группировка следила в рамках служебных обязанностей по линии ФСБ, а за другой частью — по коммерческому заказу, с оплатой в свой личный карман, с последующим шантажом фигурантов и (если не получали выкупа) выкладыванием переписки на вебе. Американским силовикам этих тонкостей, наверное, даже не объяснить. Но в руководстве ФБР были потрясены, когда осознали, что обвиняемые Докучаев и Сущин служили/служат ровно в том самом подразделении ФСБ, которое должно взаимодействовать с американскими кибер-полицейскими в деле розыска и поимки компьютерных преступников. В том самом отделе и департаменте, куда ФБР с 2012 года неоднократно обращалось за помощью в розыске Алексея Белана. Оказывается, он всё это время состоял у этих же чекистов на службе — и, вероятно, был первым читателем всей оперативной информации, которую ФБР про него накопало. Вся эта история довольно увлекательна, а объём работы, проделанной американскими кибер-сыщиками, впечатляет. Особенно если сравнить их 39-страничный акт с российскими обвинительными заключениями, где сплошь и рядом действуют «неустановленные лица в неустановленном месте в неустановленное время», но при этом сочинители никогда не забудут упомянуть «имея преступный умысел на…», поскольку этот самый умысел должен быть позднее отражён в приговоре суда — даже когда речь идёт о лицах, оставшихся в итоге не установленными. Но с другой стороны, не отвеченных вопросов после этого расследования остаётся довольно много, начиная со взлома Yahoo!. Заказала ли ФСБ этот взлом, чтобы получить доступ к тем самым 6500 ящикам, или воспользовалась удачным стечением обстоятельств, когда Белан взломал сервис для собственных нужд? И кто стоит за тем, другим взломом, после которого на продажу был выставлен миллиард паролей? «Восточноевропейская группа», которую отследил Комаров из InfoArmor — это те же наши знакомые из «Шалтая», или другая какая-то группа? А что за спецслужба купила у них базу, и зачем? И имеет ли вся эта история отношение к взлому серверов Демпартии? А к утечкам WikiLeaks? Ну, и про «Шалтай» по-прежнему остаются все те же вопросы, не прояснённые с того дня, как мы впервые узнали об арестах участников группировки. Кто заказал им Дворковича? А Медведева? livejournal.com . *** Следственное управление ФСБ рассмотрит вопрос о том, чтобы признать потерпевшими по делу хакеров «Шалтай-Болтай» еще нескольких человек, рассказал РБК собеседник, знакомый с ходом следствия, и подтвердил источник в спецслужбе. Заявления с просьбой признать их пострадавшими от действий группировки написали замначальника управления внутренней политики Кремля Тимур Прокопенко и телеведущий Дмитрий Киселев, уточнили собеседники РБК. «Во время беседы со следователем Прокопенко подтвердил, что к его личной почте был осуществлен неправомерный доступ, но отказался подтвердить достоверность контента, который был добавлен [в опубликованную «Шалтай-Болтаем» переписку] с целью его дискредитации», — уточнил близкий к следствию собеседник РБК. Прокопенко заявил РБК, что «не будет давать комментариев до решения суда». Киселев на вопрос РБК ответил, что ему эта тема «неинтересна». На беседу с сотрудником Следственного управления ФСБ приглашена и пресс-секретарь премьер-министра Наталья Тимакова, рассказали два источника. Тимакова подтвердила РБК, что получила соответствующее приглашение. «Я намерена сотрудничать со следствием», — подчеркнула она. На вопрос о том, означает ли это, что она собирается написать заявление о признании ее потерпевшей, Тимакова ответила отрицательно. Пресс-секретарь премьер-министра также заявила, что до встречи со следователем комментировать эту тему не будет. С заявлением о признании его потерпевшим обратился также топ-менеджер одной из госкомпаний, отметил в разговоре с РБК собеседник, знакомый с ходом расследования. Фамилию заявителя он назвать отказался, но добавил, что в ближайшее время обратиться с аналогичными заявлениями могут еще несколько человек, у которых группировка вымогала деньги. «В основном это представители госкомпаний и госкорпораций», — уточнил собеседник. Эту информацию подтвердил источник в ФСБ. По делу «Шалтая-Болтая» арестованы три человека — Владимир Аникеев, а также Александр Филинов и Константин Тепляков. Им предъявлены обвинения в неправомерном доступе к компьютерной информации, совершенном группой лиц по предварительному сговору (ч. 3 ст. 272 УК; до пяти лет лишения свободы). Следствие изучает вопрос о том, чтобы предъявить хакерам обвинения еще по двум статьям — «вымогательство» и «организация преступного сообщества» (ст. 163 и ст. 210 УК; до 15 лет и до 20 лет лишения свободы соответственно), рассказали РБК два собеседника, знакомые с ходом дела. След ФСБ Переписка, якобы принадлежащая Тимаковой, была выложена группировкой «Шалтай-Болтай» в январе 2015 года. Сообщения, в том числе с защищенного правительственного домена gov.ru, датировались 2004–2015 годами, на сайте «Международной биржи информации» их предлагалось выкупить за 150 биткоинов, что на тот момент было эквивалентно $35 тыс. «Переписка включает фотографии, которые иллюстрируют деятельность Дмитрия Медведева. Большое количество ранее не публиковавшихся фотографий с официальных и неформальных событий. Неформальная рабочая переписка. Согласование материалов, общение с журналистами, мониторинг различных вопросов, отчеты», — говорилось в описании лота. Материалы по Прокопенко хакеры начали публиковать в декабре 2014 года. Тогда группировка обнародовала фотографию Кристины Потупчик (бывший пресс-секретарь движения «Наши») с сумкой, набитой деньгами. Снимок, по словам «Шалтая-Болтая», был сделан в кабинете Прокопенко. Материалы по чиновнику появлялись в течение следующих нескольких месяцев. Из них можно было сделать вывод, что Прокопенко отвечал за размещение материалов обо всех уголовных делах, связанных с основателем Фонда борьбы с коррупцией Алексеем Навальным. Почта Киселева была взломана весной 2016 года. «Основную часть переписки занимают письма, связанные с профессиональной деятельностью Киселева — ТВ-проект «Россия сегодня» и все с ним связанное, также представлена информация о финансах и активах, как личных, так и связанных с телепроектами ВГТРК», — отмечали хакеры. Куратором «Шалтая-Болтая», по данным «Росбалта», был полковник ФСБ, заместитель главы Центра информационной безопасности (ЦИБ) спецслужбы Сергей Михайлов. Он, а также старший оперуполномоченный 2-го отдела оперативного управления ЦИБа, бывший хакер Дмитрий Докучаев, руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов и интернет-бизнесмен Георгий Фомченков проходят по делу о госизмене (ст. 275 УК). «Новая газета» отмечала, что Михайлов попал в поле зрения коллег после того, как США заподозрили владельца компании King Servers Владимира Фоменко в кибератаке на избирательные системы в штатах Аризона и Иллинойс. Источники «Новой газеты» утверждали, что американские спецслужбы получили эту информацию именно от Михайлова. rbc.ru . *** ВЗЛОМАВШИЙ YAHOO! ​ХАКЕР РАБОТАЛ ПОД ПРИКРЫТИЕМ В РОССИЙСКОМ БАНКЕ В США Сотрудник Федеральной службы безопасности России Игорь Сущин, которого США обвиняют в причастности к кибератакам на Yahoo, оказался начальником службы безопасности "Ренессанс Капитала". В компании заявили, что он был уволен 16 марта, то есть на следующий день после публикации обвинений со стороны США. В обвинительном заключении говорится, что Сущин "возглавлял службу информационной безопасности в российской компании", но ее название не уточняется. По версии ФБР, в 2015 году он приказал другому сотруднику ФСБ Дмитрию Докучаеву получить доступ к аккаунту члена совета директоров российского банка, его жены и подчиненного. Там не указывается название организации, но из текста "Коммерсанта" следует, что речь идет о "Ренессанс Капитале". "Ренессанс Капитал" входит в группу ОНЭКСИМ Михаила Прохорова. Предположения о том, что Сущин работал в инвестбанке Прохорова, появлялись и раньше, но подтверждения, что это один и тот же человек, не было. "Сомневаюсь, что внутри "Ренессанс Капитала" были не осведомлены о том, что Сущин - сотрудник ФСБ. Скорее всего, он был нанят для налаживания контактов с правоохранительными органами. В финансовой сфере прикомандированные сотрудники необходимы для обеспечения контрразведывательной деятельности, то есть чтобы шпионы не проникли", - рассказал главный редактор Agentura.ru Андрей Солдатов. Он также допустил, что взлом почтовых ящиков сотрудников банка Сущиным мог оказаться полной неожиданностью для самого Прохорова и руководства компании. "Обычно прикомандированные сотрудники более лояльны к компаниям, где они работают, чем к ФСБ. Но тут что-то пошло не по схеме", - отметил Солдатов. atn.ua . *** Диалога между правоохранительными органами Америки и России по делам о хакерских взломах к настоящему времени нет. Ранее существовавшая рабочая группа де-факто прекратила свое существование, — рассказал собеседник «Интерфакса». Более того, перспективу возобновления такой работы источник агентства оценил как «нереальную». А речь идет о возможном сотрудничестве двух стран по делам о проникновении в базы данных крупных американских компаний, в частности, — Yahoo, Flickr и Tumblr. Накануне Минюст США направил Москве запрос о выдаче группы наших соотечественников. В штатах полагают, что Россия сама могла бы выдать фигурантов американского расследования, несмотря на то, что совместного договора об экстрадиции у нас нет. Между тем, среди фигурантов – два экс-сотрудника ФСБ Дмитрий Докучаев и Игорь Сущин и взломщики, с которыми те сотрудничали. Один из хакеров был задержан в среду в Канаде, а остальные участники группы – находятся в России. В Кремле ранее заявляли, что российские спецслужбы к киберпреступлениям по определению причастны быть не могут. Дмитрий Песков подчеркивал — в целом наша страна участие в расследовании принимать готова. echo.msk.ru .