Спецслужбы
08.10.2018

Екатеринбургские хакеры отличаются устойчивостью, организованностью и сплоченностью

Екатеринбургские хакеры отличаются устойчивостью, организованностью и сплоченностью
  • Игорь Маковкин. Фото znak.com
Участники группировки Lurk не могут вспомнить, взламывали ли поту Хиллари Клинтон по поручению ФСБ

Вчера в Кировском райсуде Екатеринбурга стартовали два процесса над участниками так называемой хакерской группы Lurk,  руководители которой ранее признались во вмешательстве в ход президентской кампании в США 2016 года и взломе электронной почты Хилари Клинтон. По данным агентства «Руспрес», один из задержанных, Константин Козловский, ранее заявлял, что группировка работала в контакте с российскими спецслужбами. Первый день процесса описывает издаи «Знак».

В 14:00 судья Кировского райсуда Кристина Упорова начала рассматривать обвинение в отношении екатеринбуржца Игоря Маковкина, которого следствие называет одним из взломщиков группы, участвовавших в проникновении в нужные компьютерные сети. В это же время этажом ниже судья Денис Абашев открыл слушания по делу уроженца украинского Днепродзержинска Константина Мельника. Последний, как полагает следствие, руководил в Lurk группой тестировщиков, опробовавших и совершенствовавших компьютерные вирусы.
Соответственно, обвинение против Маковкина выдвинуто по части 2 статьи 210 УК РФ («Участие в организованном сообществе»). Так как Мельник занимал в группе Lurk более высокий пост, он обвиняется по более серьезной части 1 статьи 210 УК РФ («Руководство преступным сообществом»). В остальном набор статьей почти идентичный: часть 4 статьи 159.6 УК РФ («Мошенничество в сфере компьютерной информации, совершенное в особо крупном размере»), часть 3 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации»), часть 2 статьи 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»).


Оба с 2016 года находятся под стражей и были недавно доставлены в Екатеринбург из Москвы (следствие по делу вел Главный следственный департамент МВД РФ) под конвоем для участия в суде. Также оба, насколько это было известно ранее, заключили досудебное соглашение, признав свою вину. Соответственно, слушания, как ожидалось, пойдут в особом порядке без исследования доказательств.


Вчера, за оставшееся до конца рабочего дня время, гособвинители зачитывали фабулу обвинения. На процессе по Маковкину это делал сотрудник отдела гособвинителей Евгений Коваленко (он параллельно представляет гособвинение на процессе по делу «тагильской борзоты» против бизнесмена Дениса Кокорина). В суде по делу Мельника работала Мария Щибрик. Ранее по делу группы Lurk обвинительное заключение в полном объеме не обнародовалось и впервые целиком было озвучено вчера.


Оказалось, что все дело составляет 585 томов и в качестве обвиняемых по нему проходит 24 человека. По версии следствия, организаторами группы выступили екатеринбургский программист Константин Козловский и Владимир Грицан. Замысел как именно действовать у них сформировался к декабрю 2013 года. После этого Козловский и Грицан через интернет начали активно вербовать помощников.


В итоге были сформирована выстроенная иерархически структура. Часть членов группировки занималась разработкой вредоносного программного обеспечения. Часть тестировала его и настраивала его под новые цели. Кто-то выполнял роль взломщиков — речь шла о системах «1С Бухгалтерия» и АКМ КБР (автоматизированное рабочее место клиента «Банка России»). Другие заливали вирус «Lurk» (отсюда название группы) в нужные компьютерные сети. При этом злоумышленниками использовались Tor и собственный бот-нет. Наконец, у группы была достаточно разветвленная сеть обнальщиков. Похищенные деньги переводились на банковские счета частных лиц и снимались через банкоматы. Все общение шло через Jabber и электронную почту. «Группа характеризовалась устойчивостью, организованностью и сплоченностью», — отметила сегодня гособвинитель Щибрик.


Следствие сумело выявить хищение в размере 1 млрд 264 млн рублей. Первый из доказанных эпизодов приходится на конец 2015 года. В качестве потерпевшей стороны по нему признано ООО «СтройИнвест» из Санкт-Петербурга. Внедрив троян на компьютеры ключевых лиц бизнес-структуры, включая главного бухгалтера, злоумышленники сумели вывести со счетов компании 7,6 млн рублей. Деньги ушли якобы на закупку строительных материалов у подконтрольного хакерам московского ООО «Промторг» и саратовского ООО «Авточехлы». В свою очередь со счетов этих компаний деньги были переведены равными суммами по 99 тыс. 996 рублей и 67 копеек на счета ряда подставных физических лиц, которые ради этого были открыты в Уральском банке реконструкции и развития, и вскоре обналичены.


20 февраля 2016 года группировка Lurk вывела 99,7 млн рублей со счетов сибирского филиала банка «Таата», зарегистрированного в городе Канске Красноярского края, ранее принадлежавшего сыну Иосифа Кобзона Андрею. Схема была использована практически та же. На этот раз средства выводились на счета нескольких сотен лиц, зарегистрированных в двух десятках филиалах известных российских банков в Москве. В том числе использовались «Тинькофф-банк», «Сбербанк России», «Россельхозбанк», «Бин-банк», ВТБ-24, ВТБ, банк «Авангард», «Промсвязьбанк», «Райфайзен», «Росбанк», «Альфа-банк», «АйМаниБанк», «Юниаструм банк», «Уралсиб», «СМП Банк». Также использовались счета в ханты-мансийском банке «Открытие» и екатеринбургском «СКБ-банке».


29 февраля 2016 года при помощи подложных реквизитов 677,6 млн рублей были выведены со счетов ПАО «Металлинвестбанк». https://www.rospres.com/crime/18193/ Для обналичивания использовались счета подставных, либо непонимающих суть происходящего физических лиц открытые в Москве в «Банке Хоум Кредит», «МТС-банке», «Тинькофф-банке», «Россельхозбанке», «Бин-банк», «Альфа-банке», «Промсвязьбанке», «Райфайзен», «ЮниКредит банке», «Газпромбанке», «СМП Банк». «ОТП-банке», «Банке Финсервис». Помимо них использовались костромской «Совкомбанк», астраханский «Консервативный коммерческий банк», екатеринбургский «Уралтрансбанк» и ханты-мансийский банк «Открытие».


Судя по материалам дела, это была самая удачная операция группировки. До того, как правоохранители сумели выйти на нее, хакеры сумели вывести еще 67 млн рублей со счетов банка «Гарант-Инвест» и 1,6 млн рублей у «Ростовской снэковой компании».


Насколько можно понять из обвинительного заключения, деньги тратились на аренду офисов в Екатеринбурге и Москве, а также закупку необходимого оборудования. К примеру, часть необходимого компьютерного оборудования располагалась в одной из квартир дома № 97 на проспекте Ленина в столице Урала. Что получали сами участники группы пока не проговаривалось. Сам Константин Мельник признал, что в месяц ему платили примерно по $2 тыс. При этом данную «работу» он нашел, просматривая объявления в интернете и ему сразу объявили, что деятельность будет «немного незаконной».


Кроме того, группировка Lurk проникновение в компьютерную сеть екатеринбургского аэропорта «Кольцово», скопировав информацию с серверов транспортного узла. Для каких это делалось целей пока осталось неизвестно — сегодня до этого эпизода гособвинитель Щибрик не успела дойти. В связи с окончанием рабочего дня заседание перенесли на 3 октября. При этом, правда, удовлетворили ходатайство прокурора о продлении на 6 месяцев срока ареста Константину Мельнику.


Любопытно, что сам он хоть и признает свое участие в деятельности хакерской группы, однако категорически не согласен с квалификацией своего обвинения. Поясняя журналистам свою позицию, Мельник заявил, что не являлся руководителем подразделения тестировщиков и работал сам по себе. «Я согласен с тем, что сделал именно я, но вменяют в десять раз больше и многие пункты дела конкретно подведены под состав, — пояснил мужчина. — Ерунда все это и глупость. Буду сопротивляться, если получиться».


На вопрос журналистов, участвовал ли он в хакерской атаке на почтовый ящик кандидата в президенты США Хилари Клинтон Мельник, о которой ранее заявил Константин Козловский, Мельник ответил отрицательно. «Ничего не знаю об этом. Я только по „Кольцово“ и другим эпизодам», — сказал он.


К слову, задержали Мельника 18 мая 2016 года в городе Гремячий ключ Краснодарского края и в тот же день взяли под стражу. Устанавливая его личность, судья Абашев поинтересовался какое участник хакерской группы имеет образования. Оказалось, только 11 классов и неоконченное высшее. Кроме того, судью заинтересовало семейная ситуация подсудимого — у Мельника трое совершеннолетних детей. «Как это вы, 1980 года рождения, успели уже столько?», — спросил Абашев. «Жена просто постарше меня», — пояснил Мельник, дав понять, что речь идет о приемных детях.


Никто из его родственников сегодня на процесс не пришел. Несмотря на весь резонанс дела группы Lurk в числе слушателей сегодня оказались несколько журналистов и группа из пяти человек, которые, вероятно, будут защищать других фигурантов данного дела. Они сейчас, как оказалось, заканчивают знакомится с материалами. Информацию о задержании хакеров, которых чуть позже по имени трояна назвали группой Lurk, стало известно 1 июня 2016 года. «Сотрудниками МВД России совместно с ФСБ России во взаимодействии с ПАО „Сбербанк“ задержаны 50 подозреваемых в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения», — сообщила тогда официальный представитель МВД России Ирина Волк.


По информации полицейских, с середины 2015 года по конец весны по всей стране было зафиксировано «18 целевых атак на автоматизированные рабочие места клиентов банков», которые выполнили члены группы Lurk. Ущерб от их действий, как тогда сообщалось, превысил 3 млрд рублей. При этом подчеркивалось, что в результате оперативных мероприятий были заблокированы фиктивные платежные поручения на 2,3 млрд рублей. Как отмечала Ирина Волк: «Следственным департаментом МВД России возбуждено уголовное дело по признакам состава преступления, предусмотренного частями 1, 2 статьи 210 УК РФ „Организация преступного сообщества“».


Обыски в рамках данного уголовного дела проходили на территории 15 регионов России. В ходе следственных действий силовики, как они сами заявляли, получили материалы, «подтверждающие причастность подозреваемых к созданию бот-сетей зараженных компьютеров, организации целевых атак на инфраструктуру кредитно-финансовых и государственных учреждений и совершение хищения денежных средств». Также было изъято большое количество компьютерной техники, электронных носителей, сим-карт, банковских карт, печатей и документов юридических лиц, оформленных на подставных граждан.


Позже портал The Bell со ссылкой на показания, которые в августе 2017 года в Московском городском суде дал один из основных фигурантов уголовного дела в отношении группы Lurk екатеринбуржец Константин Козловский, сообщил, что он взял на себя ответственность за взломы серверов Национального комитета Демократической партии США, электронной переписки Хиллари Клинтон, серверов военных предприятий США.


Сейчас копия судебного протокола с этим заявлением уральца доступна на его страничке в Facebook. «Я очень хочу, чтобы отпустили не меня, а других обвиняемых. Потому что они на самом деле ни в чем не виноваты. Я выполнял разные задания под руководством сотрудников ФСБ. В частности, „взлом“ национального комитета Демократической партии США и электронной переписки Хиллари Клинтон, а также взламывал очень серьезные военные предприятия США и прочие организации», — говорится в этом документе.


На его страничке в Facebook можно найти рукописные письма с признаниями от ноября 2016 года и января 2017 года, в которых он также говорит о своем участии в хакерской атаке на предвыборный штаб Хиллари Клинтон во время ее избирательной кампании на пост президента США.


В этих письмах Козловский сообщает, что якобы был завербован сотрудниками ФСБ еще в 2008 году, когда на спор взломал некие почтовые серверы и долгое время выполнял различные задания. «По поручению ФСБ я сделал вброс о смерти Горбачева М. С. в микроблоге РИА „Новости“», — признается в еще одном инциденте уральский хакер. Такая дезинформация о смерти экс-президента СССР Михаила Горбачева действительно публиковалась в «Твиттере» РИ А в 2013 году. Ее быстро удалили и через неделю сообщили о взломе канала.


В своих показаниях Козловский упоминает, что его куратором был майор ФСБ Дмитрий Докучаев, также уроженец Екатеринбурга 1984 года, выпускник химфака УГТУ (ныне УрФУ). В конце декабря прошлого года СМИ сообщали, что Докучаев, а также еще ряд сотрудников ФСБ, включая бывшего начальника второго управления Центра информационной безопасности ФСБ Сергея Михайлова, сами попали под следствие в связи с утечкой информации о хакерских взломах серверов Демпартии США. Как тогда сообщалось, за преследованием Михайлова и других обвиняемых стояла российская военная разведка — ГРУ (теперь называется Главное управление Генштаба Вооруженных сил РФ).


Как стало известно «Ъ»,  вчера Константин Мельник отказался от сделки со следствием и просит судить его не в особом, а в обычном порядке.

****

Чей медведь?

Как связано дело полковника ФСБ Сергея Михайлова с разоблачением офицеров ГРУ и кибергруппировки Fancy Bear

Самый громкий скандал последних лет, связанный с госизменой заместителя руководителя Центра информационной безопасности ФСБ (ЦИБ) полковника Сергея Михайлова и его сообщников, вышел на финишную прямую.

26 сентября Главная военная прокуратура утвердила обвинительные заключения и передала в Московский окружной военный суд два уголовных дела, которые будут рассмотрены в закрытом режиме. Одно дело — в отношении полковника Михайлова и бывшего сотрудника «Лаборатории Касперского» Руслана Стоянова, которые отрицают вину в государственной измене. Второе — в отношении подчиненного полковника Михайлова майора ФСБ Дмитрия Докучаева и предпринимателя Георгия Фомченкова, признавших вину и заключивших досудебные соглашения о сотрудничестве со следствием. Доказать раскаяние и подтвердить искренность намерений им предстоит, выступив свидетелями обвинения в судебном процессе в отношении Михайлова и Стоянова.

Несмотря на гриф «Секретно», все-таки просочилась информация об одном из эпизодов, инкриминируемом обвиняемым.

По версии следствия, Михайлов и его сообщники переправили в ФБР материалы уголовного дела (в котором раскрывались способы и методы ведения оперативно-разыскной деятельности) основателя и гендиректора процессинговой компании Chronopay Павла Врублевского и хакеров Дмитрия и Игоря Артимовичей.

Об уголовном деле в отношении Врублевского, которого в США называют «Киберпреступником № 1», газета уже рассказывала.

Основателя компании Chronopay обвинили в организации в июле 2010 года DDoS-атаки на платежную систему конкурирующей компании Assist, из-за которой на несколько дней была заблокирована возможность приобретения электронных билетов на авиарейсы. В 2013 году Тушинский райсуд Москвы вынес обвинительный приговор и отправил Врублевского и Дмитрия Артимовича в колонию (Игорь Артимович скрылся). Правда, не за DDoS-атаку, а за неправомерный доступ к компьютерной информации (ст. 272 УК РФ).

Оперативное сопровождение уголовного дела в отношении Врублевского и братьев Артимовичей осуществлял ЦИБ ФСБ, группой руководил лично полковник Михайлов. К слову, во время судебного процесса Михайлов приезжал в Тушинский райсуд, где я с ним и познакомился, тщетно пытаясь получить хоть какие-то комментарии по уголовному делу, которое выглядело как сфабрикованное.

Сегодня, по прошествии пяти лет, выясняется: Михайлову инкриминируется, что он записал все материалы «дела Врублевского» на два компакт-диска. Одну копию вручил майору Докучаеву. Докучаев передал диск сотруднику «Лаборатории Касперского» Руслану Стоянову, направляющемуся на международную конференцию по кибербезопасности в Нью-Денвер (Канада). На конференции диск оказался в распоряжении сотрудницы американской компании I-Defence Кимберли Зенц, которая, по данным ФСБ, якобы сотрудничает с ФБР. Вторую копию компакт-диска Михайлов якобы передал предпринимателю Георгию Фомченкову, который вылетел с «секретной информацией» в США.

За содержимое компакт-дисков Михайлову и сообщникам якобы обещали $10 млн. Правда, в обвинительном заключении этой цифры уже нет. Она фигурировала в утечках, когда дело только расследовалось. Возможно, следователям не удалось хоть как-то подтвердить эти данные — не приобщать же к материалам уголовного дела в качестве доказательства скриншоты переписок одного из бывших партнеров Врублевского, который предлагал до 10 миллионов долларов за разорение и тюремный срок основателю компании Chronopay.

Если приобщать эти письма, то придется переквалифицировать уголовное дело в отношении Михайлова с государственной измены на покушение на взятку. Впрочем, и в той версии, что изложена в обвинительном заключении, измена не просматривается. Максимум на что тянет история, связанная с уголовным делом в отношении Врублевского, — разглашение сведений, составляющих государственную тайну (материалы оперативно-разыскных мероприятий до момента рассекречивания тоже подпадают под определение «гостайна»).

Павел Врублевский от каких-либо комментариев отказался, сославшись на то, что он дал «подписку о неразглашении» (мой собеседник не стал уточнять, кем он проходит по шпионскому уголовному делу — свидетелем или потерпевшим).

Единственный комментарий, которого я добился от него, — это слова: «Михайлов — предатель и подонок».

В свою очередь, сообщники Михайлова, пошедшие на сделку со следствием, майор ФСБ Дмитрий Докучаев и предприниматель Георгий Фомченков, признались в своих показаниях в передаче компакт-дисков с секретными материалами Кимберли Зенц, но настаивают: они не знали, что конечным адресатом должно оказаться ФБР. (О контактах Докучаева и Фомченкова с Зенц мы рассказали в январе 2017 года.)

Напомню канву истории. В январе 2017 года появилась информация о том, что 5 декабря 2016 года Московский гарнизонный суд выдал санкции на арест офицеров ФСБ: полковника Сергея Михайлова и майора Дмитрия Докучаева, а также — главы отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслана Стоянова и IT-бизнесмена Георгия Фомченкова. Тогда же стало известно, что «связной» между фигурантами «шпионского» уголовного дела и ФБР якобы была именно Кимберли Зенц. Та самая Зенц, которая, еще в 2007 году одной из первых заговорила о «русской кибермафии» (подробности в «Новой» от 27 и 31 января 2017).

Тогда же в январе 2017 года крупнейший специалист по киберпреступности, автор блога KrebsOnSecurity.com, аудитория которого превышает один миллион читателей, Брайан Кребс (Brian Krebs) опубликовал материал с намеком: именно Сергей Михайлов был одним из его источников, передавшим тысячи конфиденциальных документов по киберделам в России. И именно эти документы якобы легли в основу книги Кребса Spam Nation, ставшей в США бестселлером.

В этой же публикации, появившейся на его сайте 28 января 2017 года, Кребс обнародовал скриншот электронного письма Павла Врублевского, датированного сентябрем 2010 года, в котором основатель компании Chronopay поделился своими подозрениями о том, что полковник Михайлов сотрудничает с ФБР.

0Skr-m-st240928340928959823478950894309562847t546843209850934809684353456435342photo000 2018-07-18 14-37-24
Скриншот главной страницы сайта Брайана Кребса с материалом про Сергея Михайлова

Переписка Врублевского была похищена в 2011 году. Тогда же она попала к Брайану Кребсу. Но обнародовал Кребс это письмо лишь 28 января 2017 года. Хотя очевидно, если бы в письме Врублевского была откровенная дезинформация, оно тут же появилось бы в открытом пространстве. Например, для дискредитации замруководителя ЦИБ ФСБ Сергея Михайлова. Но вместо этого началась кампания по дискредитации самого Павла Врублевского. Именно с подачи Кребса за Врублевским закрепилась репутация «киберпреступника №1 в мире», а Сергей Михайлов инициировал в отношении Врублевского уголовное дело, по которому тот получил 2,5 года лишения свободы, которые отсидел в колонии в Рязанской области (подробности в «Новой» от 2 февраля 2017).

Очевидно, что «дело Врублевского» — не единственный эпизод, инкриминируемый полковнику Михайлову и его сообщникам. Но об остальных эпизодах информация крайне скудная. Так что можно лишь выдвигать версии.

Один из наших источников, знакомый с обвинениями, предъявленными Михайлову и его сообщникам, намекнул, что самое серьезное преступление бывшего заместителя руководителя Центра информационной безопасности ФСБ (ЦИБ) — это передача западным спецслужбам информации, которая позволила ФБР идентифицировать группировку Fancy Bear («Забавный медведь») — как хакеров в погонах, работающих под прикрытием ГРУ.

Практически одновременно с американцами обвинили в киберпреступлениях хакеров в погонах власти Нидерландов, Дании и Великобритании. В британском МИДе, к примеру, заявили о причастности ГРУ к не менее чем 12 хакерским группам, таким как Fancy Bear, Voodoo Bear, APT28, Sofacy, Pawnstorm, Sednit, CyberCaliphate, Cyber Berkut, BlackEnergy Actors, STRONTIUM, Tsar Team и Sandworm. Однако опрошенные нами специалисты IT-сферы полагают, что все эти группы — это составные части команды хакеров Fancy Bear, засветившейся в киберпространстве еще в 2004 году.

Именно этой группировке приписывают, к примеру, только в 2015 году, кибератаки на информационные системы Белого дома и NATO, на правительственные учреждения Германии и французский телеканал TV5 Monde. Именно Fancy Bear — ключевой подозреваемый во взломе компьютерной сети Демократической партии США летом 2016 года. И взлом сайта Всемирного антидопингового агентства в августе того же 2016 года.

Что интересно, после ареста Михайлова и его сообщников в декабре 2016 года Fancy Bear резко снизил свою активность, практически исчезнув из киберпространства. Можно предположить, что после громкого ареста кураторы хакеров получили команду «залечь на дно».

Если эта версия не лишена оснований, легко объяснить и сверхсекретность «Дела Михайлова». Потому что любая утечка информации о том, что именно Михайлов помог иностранным спецслужбам идентифицировать Fancy Bear, — это подтверждение тому, что эта кибергрупировка — российская.

Россия же пока отрицает причастность к деятельности Fancy Bear.

Ирек Муртазин

Источник: "Новая газета", 08.10.2018