Спецслужбы
26.01.2017

Касперский, шпионы и ЦИБ

Касперский, шпионы и ЦИБ
  • Евгений Касперский. Фото «Ъ», Dota2, Roem
Куратор Рунета из ФСБ арестован по подозрению в государственной измене

Стали известны подробности чистки в Центре информационной безопасности (ЦИБ) ФСБ и тесно связанных с войсковой частью 64829 коммерческих структур «Лаборатория Касперского» (Евгений Касперский) и Group-IB (Илья Сачков). Агентство «Руспрес» информировало  о серии конфликтов между руководителем ЦИБ Андреем Герасимовым и Управлением собственной безопасности (УСБ) ФСБ. Следствием аппаратных противоречий стали, в частности, арест, освобождение, повторный арест и судебный приговор по уголовному делу бизнесмена Павла Врублевского. Последний поддерживал неформальные отношения с УСБ, был осужден по материалам ЦИБ и привлеченных Центром специалистов Ильи Сачкова и Евгения Касперского.

[«Царьград», 26.01.2017, "Сотрудник ФСБ, подозреваемый в госизмене, хотел работать на Грефа": Михайлов мог быть связан с самой скандальной хакерской группировкой "Шалтай-Болтай" [...] Незадолго до задержания замглавы ЦИБ Сергей Михайлов вел переговоры с руководством Сбербанка. Он намеревался заниматься разработкой новой системы безопасности для компании. Планировалось создать фактически новую интернет-спецслужбу, подобную АНБ США, с сопоставимыми возможностями по контролю за людьми. Если бы Михайлов перешел на работу в Сбербанк, то самая крупная база личных данных оказалась бы в его руках. Если бы арест Михайлова не состоялся, тот перешел бы уже в непосредственное подчинение руководителя Сбербанка Германа Грефа»  - врез Руспрес]


 18 01 17 kasper 03На сегодняшний день в рамках оперативных мероприятий УСБ арестован высокопоставленный офицер ЦИБ ФСБ Сергей Юрьевич Михайлов (на фото)  и глава отдела по расследованию киберпреступлений "Лаборатории Касперского" Руслан Стоянов.  Данный отдел координирует работу Михайловым и его подчиненными. По социальным сетям и мобильным мессенджерам видно, что Стоянов последний раз был онлайн 4 декабря, Михайлов — 5 декабря.

Стоянов взят под стражу в декабре, находится в следственном изоляторе «Лефортово». Данное учреждение ранее официально числилось за ФСБ. Подозреваемым могут инкриминировать ст. 275 УК РФ ("Государственная измена") — проверяются информация о получении сотрудником ЦИБ денег от иностранной организации при посредничестве российской IT-компании в сфере кибербезопасности.

[rbc.ru, 25.01.2017, "В "Лаборатории Касперского" подтвердили арест своего топ-менеджера": В пресс-службе «Лаборатории Касперского» подтвердили факт ареста топ-менеджера Руслана Стоянова, об этом представитель компании.

«Мы подтверждаем факт ареста Руслана Стоянова», — заявил собеседник.

Обстоятельства задержания бизнесмена в пресс-службе комментировать отказались. «Поскольку это дело не имеет отношения к «Лаборатории Касперского» и ее деятельности, мы не располагаем никакими деталями», — объяснил представитель компании.

На вопрос, уволен ли Стоянов, собеседник агентства заявил, что «никаких кадровых перестановок» в компании «пока не проводилось».

В свою очередь, менеджер по корпоративным коммуникациям «Лаборатории Касперского» Мария Широкова заявила, что Стоянов «не является топ-менеджером» компании». «Он, действительно, возглавляет один из отделов, но в список топ-менеджеров он не входит», — заявила она.

Также Широкова отметила, что «это дело не имеет какого-либо отношения к «Лаборатории Касперского» и ее деятельности». «Поэтому мы не располагаем никакими деталями», — сообщила она, добавив, что «по всем вопросам лучше обращаться в компетентные органы».

RNS в пресс-службе компании уточнили, что дело в отношении Стоянова «относится к тому периоду времени», когда он не являлся сотрудником «Лаборатории Касперского».

В центре общественных связей ФСБ информацию об аресте бизнесмена комментировать не стали — врезка К.ру]

Источники считают Сергея Михайлова ключевым сотрудником Андрея Герасимова, курирующим "весь интернет-бизнес в стране". "Этот человек, на мой взгляд, во многом неформально определяет политику всей отрасли кибербезопасности и интернет-коммерции", — подтверждает Павел Врублевский, работавший  лично с Михайловым, начиная с сентября 2007 года. Их контакт мог организовать сотрудник 2 управления ЦИБ ФСБ Александр Александрович Алмакаев, позднее упоминавшийся  как менеджер компании ChronoPay, принадлежавшей Врублевскому. 22 июня 2011 года после задержания Павла Врублевского в его кабинете в Большом Палашевском переулке был проведен обыск. На столе секретаря нашли лист с записью от руки: "Слили нас в ФСБ ЦИБ ФСБ Сергей Михайлов".

Михайлов от ФСБ курирует кластер по информационной безопасности Российской ассоциации электронных коммуникаций. РАЭК возглавляет Сергей Плуготаренко. Координатор кластера и директор по стратегическим проектам Института исследований интернета Ирина Левова сообщила "Ъ",  что на последнем совещании 12 декабря Михайлова не было, хотя прежде он всегда присутствовал. В том же кластер входит владелец Group-IB Илья Сачков — близкий знакомый Сергея Михайлова. Помимо Сачкова в кластере присутствуют сотрудник Group-IB Игорь Подлесный, а также Андрей Ярных и Дарья Лосева — работники «Лаборатории Касперского».

Отдел расследования компьютерных инцидентов "Лаборатории Касперского"  сотрудничал с ФСБ, осуществляя в том числе анализ киберпреступлений и экспертизу по уголовным делам. Руслан Стоянов до 2006 года служил в управлении специальных технических мероприятий ГУВД Москвы (управление "К"). Другие сотрудники отдела — тоже выходцы из управления "К", а также из Следственного комитета РФ. "Стоянов известен как человек, который умеет выстраивать неформальные контакты. Думаю, что в "Лаборатории Касперского" после этого инцидента подумают о необходимости построить более формальные отношения с ФСБ", — уверен журналист Андрей Солдатов.

[cnews.ru, 25.01.2017, "Топ-менеджер "Касперского" арестован ФСБ": О существовании в «Лаборатории Касперского» специализированного отдела, занятого заказными расследованиями инцидентов в области информационной безопасности, стало известно в 2013 г. [Как пояснил] майор милиции Руслан Стоянов, [...] будучи выходцами из силовых структур, сотрудники его отдела «способны говорить с правоохранительными органами на понятном им языке» — врезка К.ру]

****

Ивашко и Малофеев против Михайлова
 
mal-353656-KMO 112608 00113 1 t218
Константин Малофеев


Обрастает подробностями арест начальника 2-го оперативного управления Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова. Наши источники подтвердили, что Михайлова действительно задержали в ходе заседания коллегии ФСБ. При этом задержание прошло театрализованно-показательно: на голову офицера ФСБ, подозреваемого в государственной измене, надели светонепроницаемый мешок.

Первым эту информацию распространил сайт «Царьград», созданный «православным олигархом» Константином Малофеевым. Малофееву приписывают дружбу с Андреем Ивашко, руководителем Центра защиты информации и специальной связи ФСБ (ЦЗИ). ЦИБ и ЦЗИ — в какой-то мере дублирующие друг друга и потому конкурирующие структуры в системе ФСБ. Поэтому появление на сайте, контролируемом Малофеевым, подробностей ареста Михайлова не удивляет. Хотя несколько неожиданной выглядит версия, выдвинутая изданием, что арестованный офицер ФСБ был связан с хакерской группировкой «Шалтай-Болтай».

Михайлов якобы покровительствовал и курировал хакеров, прославившихся взломами личных переписок премьер-министра, вице-премьера, чиновников администрации президента и Роскомнадзора.

«Царьград» пишет, что за «Шалтай-Болтаем» может стоять ЦРУ, а следовательно, и Михайлов мог сотрудничать с разведуправлением США. Во всяком случае, офицеру инкриминируется не должностное или коррупционное преступление, а именно государственная измена (ст. 275 УК РФ), предусматривающая до 20 лет лишения свободы.

О Сергее Михайлове я впервые услышал в 2012 году, когда проводил журналистское расследование об уголовном деле в отношении основателя и гендиректора процессинговой компании Chronopay Павла Врублевского. Бизнесмен тогда обвинил Михайлова в фабрикации уголовного дела.

Позже, в ходе процесса в Тушинском райсуде, Сергей Михайлов, допрошенный в качестве свидетеля, подтвердил свое многолетнее знакомство с Врублевским: «Врублевский — талантливый человек, который был интересен нам своими связями...».

Тушинский райсуд приговорил Врублевского к 2,5 годам лишения свободы. Срок он отбывал в одной из колоний в Рязанской области. Вернувшись в Москву, бизнесмен снова занялся оперативным управлением компании Chronopay [...] В сентябре прошлого года фамилия Павла Врублевского снова всплыла в информационном пространстве, когда США обвинили владельца компании King Servers россиянина Владимира Фоменко в кибератаке на избирательные системы в американских штатах Аризона и Иллинойс, которая якобы была произведена с восьми серверов, шесть из которых принадлежат компании King Servers. Фоменко, в свою очередь, арендовал эти серверы у голландской компании, контролируемой именно Врублевским.

[...] Управление собственной безопасности спецслужбы еще в сентябре начало служебную проверку и в декабре якобы пришло к выводу, что информацию о King Servers, Фоменко и Врублевском американская разведка получила от начальника 2-го оперативного управления Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова. Тут же были произведены аресты...

На сегодняшний день, по нашим сведениям, вместе с Сергеем Михайловым и сотрудником «Лаборатории Касперского» Русланом Стояновым арестованы еще два человека. В том числе коллега Михайлова, офицер Центра информационной безопасности ФСБ.

Источник: «Новая газета», 26.01.2017

 

****

Офицер ЦИБ ФСБ Дмитрий Докучаев — он же киберпреступник Forb

Третий подозреваемый — сотрудник Центра информационной безопасности ФСБ России Дмитрий Докучаев. Докучаев был арестован в декабре 2016 года. Знакомый Докучаева подтвердил информацию об аресте. Другой его знакомый сообщил, что не видел Докучаева с конца ноября.

[...] Дмитрий Александрович Докучаев занимал должность старшего оперуполномоченного 2-го отдела оперативного управления Центра информационной безопасности (ОУ ЦИБ) ФСБ России. [Для многих он был известен как Forb или ранее - Forbik; в начале "хакер" (пока жил в Екатеринбурге и не перебрался в Москву), потом - "около-кардер"; а уже позже, после взлома — как сотрудник ФСБ — прим. Sporaw].

Источник: сетевой дневник Андрея Спорова, 26.01.2017

****

«Pass:fsb2otdel»

vru-325364content RIAN 02256079.HR.ru
Павел Врублевский

Freddi Kryuger: «В журнале Хакер был такой редактор рубрики "Взлом" Дмитрий Докучаев (он же Forb). Этот самый товарищ одновременно работал и оперативником в ЦИБ ФСБ., который прессовал Павла [Врублевского]. Данные вполне официальные.

Постоянные публикации компромата про Пашу в Хакере и восторженное интервью главреда Никиты Кислицына по факту ареста наводят на логичные размышления.

И последнее. кто-то же пытался постоянно взламывать компанию Врублевского. я ничего такого не имею ввиду, но ведь есть целый редактор раздела "взлом" журнала Хакер»

Павел Врублевский: «Да ладно! Докучаев с ЦИБа это тот же человек что и действующий редактор рубрики взлом журнала Хакер?! Жесть какая»

Freddi Kryuger: «Я серьезно. Вот, например, ссылка http://carding.su/archive/index.php/t-118408.html Mazy - элитный кардерский форум, а Forb там за главного. при этом товарищ числится сотрудником 2 отдела ФСБ (Name:admin Pass:fsb2otdel)»

Павел Врублевский: «Да! Это просто праздник какой-то! [...] Если чо — [...] это копипейст с ссылки Крюгера»

Данная статья не моя и довольно таки старая приблизительно 2008-2009 годов, но я все таки решил выложить ее у себя на сайте и дополнить. Для новичков которые только мечтают то попасть на mazу и думают что там рай прям в открытом виде куча статьей как вывести с СС на ВМ, а некоторые даже не знают миф этот форм или нет потому что он тщательно прячется и вход у них по сертам и домены они меняют чаще чем вы свои носки.

Когда то была в прессе написано что мазу слили но это чистой воды пиар был и маза есть стремления как бы для каждого новичка, но вот я решил выложить статью для того что бы новички поняли что маза это не тот форум о котором вы мечтаете и думаете там рай, это все сплетни. Возможно когда то он и был кого то из кардеров но потом походу отжали форум и ловят краснеперые отличных парней и шариших в кардинги как говорится родились с пластиком в руках.

И теперь задумайтесь стоит ли вам выкидывать деньги такие как 2 поручателя+100$, 1 поручатель +500$ или без поручателей 1к$.

Статья:

Как отчёт пинча (парсер 2.3.1.8) с машины саппорта официального впн-сервиза maza.la, человека с номера аськи 978898, который неизвестным образом попал на мою связку и был заражен. Посмотрев отчёт повнимательнее можно увидеть фтп доступы к openvpn.ru, confs.openvpn.ru и icq 978898 – это уже явно говорит о том что это? именно он, саппорт впн-сервиса. А дальше самое интересное, что мы видим? Мы видим доступ к ftp.glc.ru (ftp://ftp.glc.ru), а это ни что иное как один из фтп.

Серверов редакции gameland (журнал Хакер). Идём дальше. Видим е-майл адреса с логинами forb, forbik. Вот они:

Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. ,

Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. ,

Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. ,

Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. ,

Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Выходим на форум tim.ustu.ru и находим профиль этого самого форба, вот он:

http://tim.ustu.ru/forum/member.php?u=2 Администратор форума

Далее начинается самое интересное. Вот информация которая была получена из кипера, установленного на этой же машине (~369 бл, перс аттестат).

Докучаев Дмитрий Александрович.

Россия, Москва, Бульвар Дмитрия Донского, д. 9, корпус 3 [...] +79261497729, mailto: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Теперь уже становится ясно что openvpn.ru тесно связан с персонажем под ником forb. Копаем дальше. Журнал Хакер, статья «Разговорчивый осёл»

Докучаев Дмитрий aka Forb

Хакер, номер #080, стр. 080-048-1

( Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. )

Почитав саму статью, уже не остается никаких сомнений насчёт того, что Докучаев Дмитрий Александрович, известный под ником Форб, так же является и саппортом официального впн-сервиса форума maza.la.

Далее чуть погуглив выходим на блог, который имеет непосредственное отношение к нему, листаем чуть вниз, и видим то самое лицо, которое видели и на http://tim.ustu.ru, забавное совпадение не правда ли?

читаем блог, находим данную строчку в одном из постов: «Заняться какой-нибудь борьбой, САМБО вспомнить, например... Или еще чего-то в этом роде»

[...] Ну а теперь самое интересное. Полистав отчёт пинча, в сохранённых формах IE мы видим два логина, неизвестно куда. Вот они:

Name:admin

Pass:fsb2otdel

ещё немного гуглим и находим интересную ссылку: http://www.police-russia.ru/showthread.php?t=13221

листаем вниз, и видим: Forb Член клуба. Не слишком ли много совпадений?

P.S Кстати, как только кто-то инфу выложил на верифе, тему быстро удалили – делаем выводы.

Источник: сетевой дневник Павла Врублевского, 17-18.01.2012


****

Предатель Михайлов выполнял заказы олигарха Усманова

usm-2349549386543876428383275694387555553
Алишер Усманов

Интересоваться тем, кто что пишет у нас на сайте все начали сразу, а ФСБ проявило свой интерес в ноябре 2007-го года - меньше чем через 2 месяца после запуска. Эдакое "достижение".

28 ноября в 2007-м я получил первую "просьбу" от оперативного управления Центра Информационной Безопасности ФСБ, с просьбой раскрыть "регистрационные данные пользователя "Alter Ego". Взяв на руки официальную бумагу с подписью руководителя ЦИБ Сергея Михайлова и печатью "ВЧ 64829. Для пакетов XXIV" я немного поговорил с оперативником на Лубянке, объяснив ему, что Alter Ego это некоторый аналог гостевого входа и что логов авторов интересующих его комментариев у меня нет, после чего мы и растались.

Оставалось лишь похвалить себя за предусмотрительность и то, что не хранил логи. Впоследствии несколько лет все попытки выяснить какие-либо подробности о внутренностях Roem.ru не выходили за рамки личных бесед с затронутыми людьми, которые между делом пытались узнать, кто же что про них пишет (безуспешно). Несколько раз еще пытались подбирать пароль к Roem.ru и моей почте, но спамеры это или шпионы — неведомо.

Всё было тихо-мирно, пока 28-го апреля 2011-го в очередной раз мне не позвонил сотрудник ФСБ, и попросил дать данные автора текста "Андрей Миронов (legal) подал в суд на Илью Широкова".

Небольшое лирическое отступление: если в 2007-м, по-моему мнению, ФСБшников интересовал лишь один конкретный комментарий, но в запросе они упомянули несколько (предполагаю, для маскировки), то в 2011-м никакой попытки скрыть свой интерес не было. Тут же попросили предъявить автора одного-единственного текста. Могу это объяснить лишь возросшей наглостью или снизившимся профессионализмом.

Очень меня заинтересовал такой интерес к абсолютно проходному и абсолютно неинсайдерскому тексту (в отличие, например, от информации о новом логотипе ОК, который на "Роем" слили за два месяца до выкатки на публику): дело в том, что сведения об иске Миронова к Широкову были абсолютно публичны, находились на сайте савеловского суда и, более того, из текста выложенного на Roem.ru на конкретную страницу савёловского суда была поставлена ссылка, как на источник информации. Очевидно было, что никаких санкций за распространение информации из открытых источников быть не может, то есть, ФСБ просто любопытно, кто же это пишет про руководителя "Одноклассников".

На этом месте я попросил от собеседника из ФСБ хоть сколько-нибудь официальный запрос, ожидая, что здесь наша беседа и прервётся: любопытство любопытством, но можно было ожидать, что бумажных следов никто оставлять не захочет. Но, к моему удивлению, с Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. мне быстро прислали скан запроса с номером ОУ/2-368/4-Б от 28-го апреля 2011-го года, при этом уже с нормальной печатью и подписью все того же руководителя ЦИБ Сергея Михайлова, в ответ на который я быстро ответил, что автором данного текста являюсь я (это правда, тут отсутствие логов не помогло, а пытаться что-то скрывать было незачем). Другой вопрос, как я нашёл информацию об этом иске на сайте Савёловского суда, но это останется типа тайной. Подозреваю, что те, кого этот вопрос действительно интересовал, имеют достаточно небольшой круг "подозреваемых" - где-то 200 человек читающих внутреннюю рассылку "Одноклассников".

Who watches the watchmen

Ну а дальше, имея на руках бумажку, можно было действовать. В первую очередь ушёл запрос в управление собственной безопасности ФСБ [в том же 2011 году УСБ возглавил Сергей Королев, до и после этого управление находилось под влиянием Олега Феоктистова]. Спрошено было следующее: что за ерунда происходит и не ради каких-либо корпоративных или частных интересов работает ФСБ? Ответ от УСБшников [в действительности ниже приводится ответ сотрудника ЦИБ ФСБ Лютикова, что очевидно из содержания документа] пришёл безрадостный:
 
lyutikov-12453297543457549375618372618674
Ответ замначальника оперативного управления ЦИБ ФСБ Лютикова

«Благодарим за оперативный ответ на наш запрос, направленный на адрес Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. . Ваша информация позволила нам установить первоисточник публикуемых на Вашем сайте материалов.

Также благодарим за проявленную бдительность и направление обращения на адрес Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. и в Управление собственной безопасности ФСБ России ( Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. ).

Подтверждаем легитимность запроса № ОУ/2-368/4-Б, а также сообщаем, что он носит справочный характер и не использовался в личных или корпоративных целях.

Подпись: Первый заместитель начальника Управления А.И. Лютиков»

Разбирать это письмо особого смысла нет. Стоит только заметить, что УСБ в ФСБ мышей не ловит, что в дальнейшем будет ясно из ответа прокуратуры, куда был отправлен такой же запрос (его немного пофутболили между прокуратурой простой и областной, потом отправили в Генпрокуратуру — именно она контролирует ФСБ), но ответ пришел диаметрально противоположный: ФСБ нарушило закон "Об оперативно-розыскной деятельности":

sizov-124628642837542573137629489375934652835464
Ответ старшего помощника Юрия Чайки

«Ваше обращение о проверке правомерности действий сотрудников ФСБ России по истребованию сведений о пользователе проекта www.roem.ru рассмотрено.

В ходе проверки установлено, что сотрудники Центра информационной безопасности ФСБ России допустили нарушения требований ст. 7 Федерального закона "Об оперативно-розыскной деятельности".

По результатам проверки руководству Центра информационной безопасности ФСБ России указано о недопустимости нарушений закона

Старший помощник генерального прокурора Российской Федерации В.В. Сизов»

[Руспрес: Вячеслав Викторович Сизов с 2006 года возглавлял управление Генеральной прокуратуры РФ по надзору за исполнением законов о федеральной безопасности. 22 июля 2011 года, спустя три недели после отправки Юрию Синодову письма о проверке ЦИБ ФСБ прокурор Сизов застрелился в служебном кабинете Генеральной прокуратуры]

В этой статье 7 закона об ОРД говорится об очень простых вещах: об основаниях для проведения оперативно розыскной деятельности. Раз ЦИБ ФСБ ее нарушил, значит ни единого основания для рассылки запросов не было. Да и не могло быть.

Кому выгодно?

Точнее, почему вообще возник этот запрос от ЦИБа? Это хороший вопрос и ответ может быть не так очевиден. Естественно, что в каждой крупной компании должен быть безопасник. Желательно из околоайтишных органов, чтобы у него были связи, если что. Обычно это дядечка пред- или запенсионного возраста, со среднего размера брюшком и пиджаком. Не исключаю, что такие дядечки могут быть в личной охране людей, упомянутых в заметке, ставшей объектом интереса ФСБ. С вероятностью близкой к ста процентам такой дядечка есть в штате компании "Одноклассники", косвенно причастной к иску [Андрея] Миронова к [Илье] Широкову, и в штате Mail.ru Group [основной акционер — Алишер Усманов].

Могли эти компании заинтересоваться, кто пишет на Roem.ru про Широкова и логотипы "Одноклассников"? Могли. Им инсайдеры не особо нужны.

Могли спросить об этом меня? Могли, но ответа бы не получили.

Могли спросить об этом через ФСБ, которому не ответить сложно? Получается, раз никаких оснований для вопросов по поводу автора не было, а вопрос из недр ФСБ возник — могли. А спрашивали ли? Не знаю.

[...] Происходят все эти левые запросы очень давно и ничего в этой области не меняется. Я предполагаю, что они были до 2007-го года и не прекращались до 2011-го. В мой адрес они идут от одного и того же отдела, одного и того же руководителя — Сергея Михайлова. Два раза из двух — это какой-то левак. То генпрокуратура левак найдёт, то на запрос лепят какие-то мутные печати "для пакетов".

Насколько я знаю, Михайлов вполне адекватен, а сам ЦИБ занимается не только тем, что на Roem.ru альтерэг ловит. Но то, что ЦИБ под его руководством несколько лет "ещё и шьёт" саму спецслужбу дискредитирует.

Юрий Синодов