Всего за 419 руб. Купить полную версию
Члены группировки старательно скрывали свои действия: шифровали всю повседневную переписку, регистрировали домены на фальшивых пользователей. «Злоумышленники пользуются тройным VPN, Тором", секретными чатами, но проблема в том, что даже отлаженный механизм дает сбой, объясняет Голованов. То VPN отвалится, то секретный чат оказывается не таким секретным, то один вместо того, чтобы позвонить через Telegram, позвонил просто с телефона. Это человеческий фактор. И когда у тебя копится годами база данных, нужно искать такие случайности. После этого правоохранители могут обращаться к провайдерам, чтобы узнать, кто ходил на такой-то IP-адрес и в какое время. И тогда выстраивается дело».
Задержание хакеров из Lurk выгляделокак боевик. Сотрудники МЧС срезали замки в загородных домах и квартирах хакеров в разных частях Екатеринбурга, после чего сотрудники ФСБ с криками врывались внутрь, хватали хакеров и бросали на пол, обыскивали помещения. После этого подозреваемых посадили в автобус, привезли в аэропорт, провели по взлетно-посадочной полосе и завели в грузовой самолет, который вылетел в Москву.
В гаражах, принадлежащих хакерам, нашли автомобилидорогие модели Audi, «кадиллаков», «мерседесов». Также обнаружили часы, инкрустированные 272 бриллиантами. Изъялиукрашения на 12 миллионов рублей и оружие. Всего полицейские провели около 80 обысков в 15 регионах и задержали около 50 человек.
Арестованы были, в частности, все технические специалисты группировки. Руслан Стоянов, сотрудник «Лаборатории Касперского», занимавшийся расследованием преступлений Lurk вместе со спецслужбами, рассказывал, что многих из них руководство искало на обычных сайтах по подбору персонала для удаленной работы. О том, что работа будет нелегальной, в объявлениях ничего не говорилось, а зарплату в Lurk предлагали выше рыночной, причем работать можно было из дома. «Каждое утро, кроме выходных, в разных частях России и Украины отдельные личности садились за компьютеры и начинали работать, описывал Стоянов. Программисты докручивали функции очередной версии [вируса], тестировщики ее проверяли, потом ответственный за ботнет загружал все на командный сервер, после чего происходило автоматическое обновление на компьютерах-ботах».
Рассмотрение дела группировки в суде началось еще осенью 2017 года и продолжалось в начале 2019 годаиз-за объема дела, в котором около шестисот томов. Адвокат хакеров, скрывающий свое имя, заявлял , что никто из подозреваемых не пойдет на сделку со следствием, но некоторые признали часть обвинений. «Наши клиенты действительно выполняли работы по разработке различных частей вируса Lurk, но многие просто не были осведомлены о том, что это троянская программа, объяснялон. Кто-то делал часть алгоритмов, которые могли с успехом работать и в поисковых системах». Дело одного из хакеров группировки вывели в отдельное производство, и он получил 5 лет, в том числе за взлом сети аэропорта Екатеринбурга.
В последние десятилетия в России спецслужбам удалось разгромить большинство крупных хакерских группировок, которые нарушили главное правило«Не работать по ru»: Carberp (похитили около полутора миллиардов рублей со счетов российских банков), Апипак (похитили более миллиарда рублей со счетов российских банков), Paunch (создавали платформы для атак, через которые проходили до половины заражений по всему миру) и так далее. Доходы таких группировок сопоставимы с заработками торговцев оружием, а состоят в них десятки людей помимо самих хакеровохранники, водители, обнальщики, владельцы сайтов, на которых появляются новые эксплойты, и так далее.
Глава 16 Сыщики
Расследованием киберпреступлений занимаются, в частности, в специальном подразделении МВДоно называется управление «К» {16}. Для группировок вроде Lurk там написали собственную аналитическую программу, выявляющую связи, которые могли упустить следователи, если загрузить в нее собранную информацию: засвеченные IP-адреса, данные серверов, сведения о хакерах, которые ранее проходили по похожим делам.
Полицейские из управления «К» работают в неприметной усадьбе Кирьякова на Петровке, напротив Высоко-Петровского монастыря и в двух минутах от клуба, где часто проходят гей-вечеринки. Заехали они в здание (которое ранее принадлежало поочередно коллекционеру антиквариата, князю Михаилу Оболенскому, ученому-терапевту и зубоврачебной школе) в конце 1990-х, когда было принято решение создать при МВД специальное подразделение по борьбе с киберпреступлениями. «Тогда пошли кардеры, и уже тогда было понятно, что одним из наших основных направлений станет противодействие распространению детской порнографии», рассказывает мне заместитель начальника управления Александр Вураско.
Эти люди редко ходят на работу в полицейской формечаще в джинсах и незаправленных рубашках; у некоторых на руках Apple Watch. Посетителям на входе выписывают ручкой бумажный пропуск; в коридоре на втором этаже стоит застекленный шкаф с подарками, среди них фарфоровая ваза, расписанная под гжель, дар от Службы внешней разведки. Рядом лежит связка баранок.
Работающие в усадьбе занимаются самыми сложными киберпреступлениями, то есть расследуют дела хакеров, объединившихся в группы и хорошо скрывающихся. В управлении несколько десятков сотрудников, для поступления в отдел от них требуют навыков «оперативника, юриста и айтишника одновременно». Находить таких людей сложно, некоторые приходят из Московского университета МВД или Университета имени Баумана, но неизбежно переучиваются.
Каждое утро полицейские собираются в своих отделах на быстрые совещания, каждую пятницу руководство собирает все управление. У многих сотрудников работа часто начинается около пяти утра: в это время принято ездить на задержания. Там, впрочем, бывают не все: технические сотрудники в специальной «чистой» комнате без интернета исследуют изъятые носители информации и другую технику.
«Это в 1999 году можно было именоваться программистом по всему, рассказывает Вураско. Сейчас все крайне узкоспециализированно. Бывают ситуации, когда мы не можем самостоятельно разобраться, и не имеет смысл держать штат специалистов, которые декомпилируют вредоносные программы, когда можно обратиться к тем, для кого это хлеб, вроде Group-IB, Лаборатории Касперского", Positive Technologies. Они могут активно пиариться [на расследованиях], но только мы или ФСБ можем поставить окончательную точкупривлечь к ответственности».
«Наша доблестная милиция не разбиралась тогда в компьютерах, вспоминал один из хакеров начала 2000-х. Отдел «Р» (Будущий отдел «К». Прим. Авт.] через полгода скатился к банальной прослушке за деньги. Крупную рыбу никогда не ловили и не поймают, так как крупной рыбе в России делать тогда было нечего. Банковская система в США и Европе на 50 лет старше нашей, и вариантов для телодвижений там, конечно, больше. Чаще всего люди попадались на случайностях, вещах, не имеющих ничего общего с кар-дин гом».
По словам Вураско, многие российские полицейские до сих пор не разбираются в основах компьютерной безопасности: не знают, что такое IR не понимают, куда отправлять запросы для получения информации по оперативно-разыскной деятельности. Управление «К» часто проводит для следователей и судей курсы, чтобы они понимали, о чем идет речь в делах, связанных с киберпреступлениями.
Управление «К» в последние годы расследовало несколько дел, похожих на Lurk. Работа по ним идет долго: полицейские всегда стараются выявлять всех членов группировки и заводить на них дело как на организованную преступную группировкуиначе, как показывает практика, хакеры получают условные сроки.
Для общения между собой члены группировок обычно используют jabber-серверы и все основные мессенджеры. Организаторы все ключевые моменты обсуждали по защищенным каналам, рассказывает Вураско о деталях дела Lurk.
То есть к ним у вас в итоге не было доступа?
В ответ майор смеется и говорит: «Позвольте мне не отвечать на этот вопрос».
Полицейские из отдела «К» занимаются расследованием только избранных киберпреступлений. Они никогда не расследовали хакерские атаки на российских оппозиционеров и негосударственные СМИ, даже когда им представляли доказательства; к ним крайне сложно обратиться с заявлением о взломе почты или DDoS-атаке на бизнестакое заявление, скорее всего, не примут.