Anton Nossik (dolboeb) wrote,
Anton Nossik
dolboeb

This journal has been placed in memorial status. New entries cannot be posted to it.

Category:
  • Location:

Что мы узнали про «Шалтай Болтай» благодаря расследованию ФБР

В России аресты членов группировки «Шалтай Болтай» и их кураторов из ФСБ начались прошлой осенью. Но нет шансов, что нам когда-нибудь расскажут, почему за ними на самом деле пришли. Зато по другую сторону Атлантики проведено масштабное расследование в связи со взломом серверов Yahoo!, и его материалы проливают некоторый свет на деятельность хакеров и офицеров ФСБ, имевших отношение к работе этой группировки. Благодаря усилиям американских кибер-сыщиков, кое-что становится понятнее в наших внутрироссийских новостях.

На сайте Департамента юстиции США выложен скан 38-страничного обвинительного заключения в отношении четырёх «российских хакеров», обвиняемых во взломе американских почтовых серверов. Все обвинения посвящены эпизодам 2014-2016 годов.

Двое из обвиняемых — офицеры ФСБ: арестованный в прошлом году по делу «Шалтая-Болтая» Дмитрий Докучаев и его начальник Игорь Сущин, с того же года разыскиваемый ФБР. Один из хакеров — коммерческий взломщик Алексей Белан, давно знакомый американскому правосудию: судами Невады и Калифорнии его арест санкционировался ещё в 2012 и 2013 годах в связи с крупными взломами тамошних сервисов. В 2013 он был даже задержан в Европе по американскому запросу, но вместо экстрадиции в США сумел сбежать в Россию. Согласно обвинительному заключению, Белан помогал своим кураторам из ФСБ, предоставляя им доступ к взломанным почтовым ящикам интересующих их россиян на почтовом сервере Yahoo!.

Четвёртый обвиняемый — задержанный на днях в Канаде 22-летний Карим Баратов, уроженец Казахстана, который раньше ни в каких расследованиях и публикациях СМИ не фигурировал. Bloomberg накопал довольно любопытный профайл о его образе жизни. Пишут, что на деньги, заработанные хакерскими подвигами, юноша сумел выплатить ипотеку за двухэтажный дом в Канаде и купить несколько дорогих машин. Соседями характеризуется исключительно с положительной стороны: хороший товарищ, спортсмен, очень вежливый и доброжелательный молодой человек.

Согласно материалам обвинения, к Баратову офицеры ФСБ обращались за помощью при взломе аккаунтов Gmail, от которых у Белана паролей не было. Канадский хакер осуществлял точечные фишинговые атаки на указанные заказчиком адреса, выманивал пароли жертв и передавал их Докучаеву, получая от него по 100 долларов за каждый взломанный таким способом ящик. В общей сложности Баратов по заказу своих московских клиентов взломал 80 ящиков Gmail. Знал ли он при этом, на кого работает, непонятно, но для целей обвинения и не важно. Минюст США требует от Канады арестовать активы Баратова: «Мерседес», «Астон Мартин» и счёт в системе PayPal. Также аресту подлежит PayPal-аккаунт Дмитрия Докучаева.

Из материалов дела непросто понять, почему американская пресса так настойчиво увязывает офицеров ФСБ со взломом Yahoo!. Есть очень сильное ощущение, что они эту историю выпячивают в заголовках, потому что их читателю взлом Yahoo! интересней слежки за какими-то там российскими госчиновниками, банкирами и оппозиционерами. Агентство Bloomberg в заголовке репортажа про Баратова поместило его at the Center of the Yahoo Hack, хотя в обвинительном заключении как раз ему-то никакие эпизоды, связанные с Yahoo, не инкриминируются. Если читать внимательно, то между нашумевшим «взломом Yahoo!», поставившим под сомнение даже сделку по продаже этого портала телекоммуникационному концерну Verizon, и действиями офицеров ФСБ причинно-следственная связь довольно косвенная. То есть ФСБ явно попаслась в ящиках абонентов Yahoo!, но нет уверенности, что базу изначально ломали за этим.

Начать с того, что взломов Yahoo! было не один, а два. Второй, в ходе которого оказались скомпрометированы 500 миллионов аккаунтов пользователей сервиса, случился, как нам рассказывают, в 2014 году. О нём сообщила сама администрация портала, и эта новость наделала много шума в сентябре 2016, за несколько месяцев до того, как тема «русских хакеров», работающих на государство, вообще начала раскручиваться в СМИ.

А был и другой взлом, более ранний и вдвое более серьёзный, предположительно — в 2013 году. О нём в августе 2016 года узнал и уведомил американские спецслужбы Андрей Комаров, специалист по разведке (Chief Intelligence Officer) из аризонской компании InfoArmor. Комаров отследил в даркнете непубличное предложение группы восточноевропейских хакеров, выставивших на продажу базу из 1 миллиарда адресов пользователей Yahoo!. За товар просили 300.000 долларов. Комарову удалось отследить три сделки с этой адресной базой. В двух случаях покупателями выступали известные спаммерские конторы. В третьем случае, судя по уточняющим вопросам к продавцу, базу купил представитель неустановленной разведслужбы, которого интересовала не возможность рассылать с её помощью спам, а содержание отдельных почтовых ящиков.

Каким-то способом Комарову удалось перехватить базу, выставленную на продажу, и он передал её американским силовикам, которые к ужасу своему обнаружили там адреса и пароли 150.000 госслужащих, включая сотрудников ФБР, ЦРУ, NSA и Белого дома. С этой информацией спецслужбы пришли в Yahoo! — и тут выяснилось, что корпорация сама не подозревала об этой масштабнейшей утечке персональных данных во всей мировой истории.

Узнав о взломе ещё в начале осени, представители Yahoo! не торопились объявлять о нём публично. Тогда Комаров сообщил о своих находках агентству Bloomberg и передал журналистам образцы данных из базы. В агентстве их проверили и обратились в Yahoo!. После этого корпорация публично признала и первый взлом, результатом которого стала утечка паролей от миллиарда ящиков, но от комментариев для Bloomberg отказалась, сославшись на то, что уже обсудила эту атаку с силовиками.

Так вот, судя по данным обвинительного заключения против Сущина, Докучаева, Белана и Баратова, «доступ к 500 миллионам ящиков на Yahoo!» они действительно получили, но базой этой не торговали, и в сами 500 миллионов аккаунтов не заглядывали (хоть и скачали какую-то часть общей базы паролей к себе). О первом взломе 2013 года в обвинительном заключении вообще не упоминается (хоть и нельзя исключить, что «восточноевропейская группа» — всё те же наши знакомые). И далеко не все действия обвиняемых, фигурирующие в обвинительном заключении, обязательно инициированы ФСБ.

По данным следствия, Алексей Белан не позже 2014 года поломал защиты Yahoo! и внедрился в почтовую систему портала на правах админа, преследуя свои собственные цели — преступные, но не шпионские. Выпуская фальшивые cookies от имени Yahoo!, он получил контроль над 30 миллионами ящиков, которые использовал для рассылки коммерческого спама. В отдельных ящиках он также искал номера кредитных карт и коды скидочных/подарочных сертификатов. Кроме того, Белан использовал свой административный доступ к серверам для перенаправления поискового траффика Yahoo! на сайт коммерческого рекламодателя (онлайн-фарма), который платил ему за переходы. Докучаев и Сущин могли знать об этой его деятельности, они могли даже быть там в доле, но это напрямую не связано с их службой в ФСБ.

По служебной линии господа офицеры с помощью Белана залезли примерно в 6500 почтовых ящиков из пользовательской базы Yahoo! для осуществления слежки за их владельцами. Достаточно одной этой цифры, чтобы понять, что круг лиц, за которыми осуществлялась слежка, был чрезвычайно широк. В обвинительном заключении (насчитывающем 47 эпизодов) нет имён, но приведены примеры, за кем следили: российские журналисты, чиновники и оппозиционные деятели, члены правительства и Совфеда, американские госчиновники, сотрудники интернет-компаний России и США, политики «соседнего с Россией государства», предприниматели, акционеры и менеджеры «российской финансовой корпорации» и т.п. В одном из потерпевших трудно не признать Аркадия Дворковича, хотя должность его названа в заключении довольно комично: «заместитель председателя Российской Федерации».

С этого места картинка становится уже трёхмерной, потому что мы тут можем сопоставить данные американского следствия с тем, что нам самим известно о деятельности «Шалтай-Болтая». Очевидно, за частью своих жертв группировка следила в рамках служебных обязанностей по линии ФСБ, а за другой частью — по коммерческому заказу, с оплатой в свой личный карман, с последующим шантажом фигурантов и (если не получали выкупа) выкладыванием переписки на вебе. Американским силовикам этих тонкостей, наверное, даже не объяснить. Но в руководстве ФБР были потрясены, когда осознали, что обвиняемые Докучаев и Сущин служили/служат ровно в том самом подразделении ФСБ, которое должно взаимодействовать с американскими кибер-полицейскими в деле розыска и поимки компьютерных преступников. В том самом отделе и департаменте, куда ФБР с 2012 года неоднократно обращалось за помощью в розыске Алексея Белана. Оказывается, он всё это время состоял у этих же чекистов на службе — и, вероятно, был первым читателем всей оперативной информации, которую ФБР про него накопало.

Вся эта история довольно увлекательна, а объём работы, проделанной американскими кибер-сыщиками, впечатляет. Особенно если сравнить их 39-страничный акт с российскими обвинительными заключениями, где сплошь и рядом действуют «неустановленные лица в неустановленном месте в неустановленное время», но при этом сочинители никогда не забудут упомянуть «имея преступный умысел на…», поскольку этот самый умысел должен быть позднее отражён в приговоре суда — даже когда речь идёт о лицах, оставшихся в итоге не установленными.

Но с другой стороны, неотвеченных вопросов после этого расследования остаётся довольно много, начиная со взлома Yahoo!. Заказала ли ФСБ этот взлом, чтобы получить доступ к тем самым 6500 ящикам, или воспользовалась удачным стечением обстоятельств, когда Белан взломал сервис для собственных нужд? И кто стоит за тем, другим взломом, после которого на продажу был выставлен миллиард паролей? «Восточноевропейская группа», которую отследил Комаров из InfoArmor — это те же наши знакомые из «Шалтая», или другая какая-то группа? А что за спецслужба купила у них базу, и зачем? И имеет ли вся эта история отношение к взлому серверов Демпартии? А к утечкам WikiLeaks?

Ну, и про «Шалтай» по-прежнему остаются все те же вопросы, не прояснённые с того дня, как мы впервые узнали об арестах участников группировки. Кто заказал им Дворковича? А Медведева? При чём тут вообще государственная измена? С кем они работали на Украине, и против кого? Возможно, как раз все те данные, которые нашли американские сыскари — про слежку за политиками и предпринимателями из «соседнего с Россией государства» — это ребята из «Шалтая» отрабатывали заказ одного украинского олигарха против другого. Предположение вполне логичное, но вряд ли оно в нынешних условиях облегчит их участь.
Tags: Интернет, америка, взлом, криминал, фсб
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 34 comments