Украинский хакер, который стал лучшим оружием ФБР — и его худшим кошмаром

Взято из Puff (https://vk.com/page-10884548_51155630)

Как-то раз, в среду, в Январе 2001, Попов Максим Игоревич, 20-летний украинец, нервно прошёл через двери посольства США в Лондоне. Попова можно было легко спутать со студентом по обмену, который пришёл получать визу. Но на самом деле он был хакером, членом восточноевропейской группировки, грабившей американские компании и занимавшейся вымогательством и мошенничеством. Волна подобных налётов предвещала началу новой холодной войны между США и организованной преступностью в странах бывшего советского блока. И Попов, со своим моложавым, пухлым лицом, очками и несуразным ёжиком на голове, должен был стать первым перебежчиком в этом конфликте.

Четыре месяца телефонных звонков и два предшествующих посещения посольства привели Попова к его цели. Теперь он встретился с помощником атташе, чтобы вручить ему свой паспорт и закончить с другими формальностями. Чуть позже, он пробивал себе путь сквозь зимнюю стужу площади Гросвенор, направляясь в гостиничный номер, забронированный посольством. Он открыл ноутбук, минибар и принялся читать свою почту, приканчивая маленькие бутылочки виски одну за другой, до тех пор, пока не отключился. На следующий день, 19 января 2001 года, Попов в сопровождении ФБР сел в самолёт и отправился в Штаты.

Попов был возбуждён и взволнован. Он оставил позади своих близких и всё, что было ему знакомо. Но в США он мог быть чем-то большим, чем послушным студентом и сыном. Теперь Попов был в розыске, участвуя в международных интригах — прямо как персонажи киберпанковских романов, которые он так любил. Ему предстояло заново открыть себя, продавая собственный опыт в компьютерной безопасности за приличную зарплату. Затем можно было вложить деньги в стартап и сделать себя богатым.

Когда самолёт сел, стало ясно, что предыдущие договорённости будут работать несколько иначе. Некогда дружелюбные агенты ФБР бросили Попова в одиночную камеру. Они вернулись через 4 часа с федеральным и военным прокурорами, а также с предложением, от которого нельзя отказаться: Попов будет информатором, работающим целый день, каждый день, чтобы заманить своих партнёров в ловушку ФБР. Если откажется, он сядет в тюрьму.

Попов был шокирован. Он был помещён под круглосуточное наблюдение на конспиративной квартире ФБР в Фэйр Лэйкс, Вирджиния, и должен был общаться в российских чатах со своими друзьями, а агенты бюро вели запись происходящего. Но у Попова были собственные козыри в рукаве. Он изображал всецелую смиренность, одновременно используя российские коллоквиализмы, чтобы предупредить своих товарищей. Когда агенты спустя 3 месяца полностью перевели логи чатов, они выдернули Попова из его уютного убежища и поместили в крохотную тюрьму округа, где ему предъявили обвинения за прошлые киберпреступления. Попов выразил полное неповиновение. «Пошли вы нахуй», — сказал он. «Вы и понятия не имеете, с чем связались». Но в глубине души он был напуган. Прокуроры всей страны мечтали о том, чтобы предъявить ему обвинения. Казалось, что из этой ситуации нет выхода.

Кроме того, что в глухом офисе ФБР в Санта-Ана, Калифорния, подающий надежды агент по имени Ернст «E.J.» Хилберт увидел, что американское правительство нуждается в Попове куда больше, чем кто-либо думает.

Хилберт осознал, что для США настал решающий момент в войне с компьютерными преступниками. В 90-х, взлом был чем-то вроде рекреационного спорта. Но в 2000-х в Восточной Европе произошли первые изменения. Признаки приближающегося коллапса были повсюду: новые способы взлома веб-сайтов, волны спама и фишинг электронной почты, первые потери из-за мошенничества с кредитными картами. Хакерство эволюционировало в профессиональную и прибылеориентированную деятельность.

В 2001-ом, украинские и русские хакеры создали сайт CarderPlanet, который являлся торговой площадкой для воров и мошенников. Здесь продавали и покупали взломанные кредитки, пароли, банковские счета и другую информацию. На этом сайте размещалась платная реклама, он также был оборудован интерфейсом, как у eBay. Впервые воры персональных данных получили единую площадку для продажи добытой информации. Тысячи пользователей подписались на этот ресурс.

Хилберт полагал, что он способен кардинально изменить эту ситуацию. Но сначала ему нужно было подчинить себе раздосадованного хакера, который однажды уже обманул ФБР.

Максим Попов вырос в городе-тысячнике Житомире, находящемся в двух часах езды от Киева, во времена, когда Украина искала собственный путь из советского прошлого. Он достаточно рано познакомился с компьютером, изучая в школе азы на допотопном клоне IBM XT украинского производства, который назывался Поиск-І. Когда ему было 15, его отец принёс домой персональный компьютер и модем. Это был дебют Попова в сети.

Вдохновлённый киберпанковым чтивом и фильмом «Хакеры», вышедшем в 1995 году, Попов сразу же выяснил для себя две вещи. Он будет компьютерным преступником и будет получать за это деньги. Он нашёл целую кучу союзников в русскоговорящих регионах Интернета. В конце 90-ых из стран постсоветского пространства хлынула целая волна толковых молодых людей, желающих сделать карьеру в сфере IT. Кроме того, они были не прочь поживиться виртуальной собственностью американских коммерческих компаний.

Попов не был таким мастеровитым хакером, как большинство его «коллег», но он обладал даром убеждения и красноречия. Он начал зарабатывать деньги за счёт обналички краденых кредиток. В этом ему помогал безупречный английский, который склонял жертв мошенничества в пользу хакера. Эта схема прожила примерно год, но затем изжила себя, ведь иностранные компании стали уделять особое внимание обслуживанию клиентов с восточноевропейскими адресами.

В то же время, местные гопники успели пронюхать о деятельности Попова и начали выбивать из него проценты. Чтобы не лишиться головы, парень из Житомира решил попробовать собственные силы в вымогательстве. На этот раз схема была ещё проще — команда Попова взламывала базу данных иностранной компании, а затем предлагала жертве собственные услуги в качестве «консультанта по безопасности».

В июле 2000 они «вскрыли» E-Money (теперь уже несуществующего провайдера электронных платежей из Washington, D.C.) и украли данные о кредитных картах 38 000 клиентов. Следующей целью стал сайт Western Union, с которого «утекла» информация об именах, адресах, паролях и кредитках 16 000 пользователей. Вскоре в компании поступили звонки от некоего Максима Попова, который обещал остановить взломы и вернуть похищенные данные. Взамен, E-Money и Western Union должны были обеднеть на суммы в диапазоне от $50 000 до $500 000.

Но на практике обмануть американские компании оказалось не так то просто. В E-Money тянули время, параллельно звоня в ФБР, а Western Union официально объявило о взломе, похоронив надежды Попова на прибыль. Его попытки не увенчались успехом, несмотря на то, что давление со стороны местных криминальных элементов только усиливалось. Попов чувствовал себя узником в родном городе, среди посредственностей, жуликов и растущего уровня насилия. Поэтому он принял решение сдаться властям США, чтобы в будущем стать высокооплачиваемым специалистом по компьютерной безопасности.

Теперь же Попов стал реальным узником тюрьмы St. Louis, располагавшейся неподалёку от офисов Western Union. Так было до тех пор, пока в гости к молодому украинцу не наведался агент Хилберт.

Семьянин, выглядевший, как типичный отец из ситкома 1950-х. Каждый сантиметр образа Хилберта выдавал в нём агента ФБР, с серьёзным взглядом и аккуратно зачёсанными коричневыми волосами. В 29 лет он бросил карьеру школьного учителя, чтобы последовать за своей детской мечтой и носить значок федералов. Его первой работой стало разбирательство с компьютерной атакой на компанию Anaheim, California. За этим стоял некий уральский хакер, для которого Хилберг организовал ловушку в Сиэттле.

Хилберт прекрасно понимал хакеров. Сам он, будучи ребёнком из пригорода Сан-Диего, также пробовал себя на этом поприще. Во время своих безобидных взломов он использовал имя Idolin — собственную вариацию античного термина, обозначавшего духа или призрака.

Попов мог принести немало пользы для бюро. Он был русскоговорящим киберпреступником, что открывало ему доступ в теневые чаты и форумы. Информация, размещённая в таких ресурсах, была бы прекрасной доказательной базой для ФБР. Хитрость заключалась в том, чтобы грамотно манипулировать Поповым, услаждая его эго и выказывая уважение к его навыкам.

Попов отчаянно хотел продемонстрировать свои навыки. Месяцы, проведённые без дела, тянулись долго. Ему даже удалось взломать тюремный компьютер, который располагался в библиотеке. Заключённый обнаружил, что машина подключена к общей системе. Вскоре на всех принтерах тюрьмы началась печать документа с замечаниями и ремарками Попова. Они касались работы самого учреждения, а также безопасности виртуальных систем. Охранники заперли хакера в одиночке, но он не жалел о содеянном. В тюрьме даже такой маленький взлом был как луч солнца посреди мрачного неба.

Ожидаемое Поповым облегчение наступило в августе, когда Хилберт со своим напарником забрали украинца для его первого рабочего дня. Далее проследовала процедура, которая успеет стать повседневностью — агенты сковали Попова кандалами и наручниками, прежде чем усадить в служебный автомобиль. После непродолжительной поездки машина остановилась у задней двери офисного здания. Хакера доставили в небольшую комнату, обустроенную столами и машинами Windows, отобранными во время последнего пиратского рейда. Хилберт приковал Попова к компьютерному столу, на котором располагалась кириллическая клавиатура. Но даже при таких обстоятельствах хакер не мог унять собственной радости. Небольшая коморка была для Попова как Овальный кабинет, в котором он смог бы наконец вершить великие дела.

ФБР назвало эту операцию «Город Муравьёв». Теперь, когда Попов вновь вернулся в сеть, ему была выдана новая личность — жадный украинский мошенник, жаждущий поживиться средствами с украденных карточек. Именно в этом образе хакер предстал на досках обсуждений CarderPlanet, а его главной целью был человек, находящийся на вершине строгой иерархии сайта. Таинственный украинец, известный к тому моменту лишь по нику Script. Попов вышел с ним на связь в начале сентября, и они начали проводить закрытые сеансы переписки, используя ICQ. Спустя две недели мошенники договорились о сделке — Script продал подставному лицу данные об украденных кредитках на сумму $400. Этого факта хватило для уголовного преследования преступника на Украине, но спустя полгода Script (или человек, которого и по сей день принимают за известного хакера) вышел на свободу. (От автора перевода. Стоит сказать, что те, кто встречались с Дмитрием Голубовым вживую, легко подтвердят, что народный депутат — человек незамысловатый, можно даже сказать, тупой. Трудно поверить, что именно Script был единственным организатором такой масштабной преступной схемы, как CarderPlanet).

Несмотря на слабый успех операции, Хилберт был доволен проделанной работой. Подобные контрольные закупки были ключевыми в его стратегии. Имея краденные карты на руках, агент мог продолжить вычислять преступников с помощью обманутых банковских компаний.

Шли дни. Иногда Попов сидел за компьютером всего ничего, иногда по 10-12 часов подряд. После работы он возвращался в тюремную камеру, а Хилберт ехал домой к семье. Но на день благодарения агент подготовил сюрприз своему пленнику — он установил в кабинете проектор с новой частью «Властелина Колец» и привёз ужин — индейку, запечённую картошку, клюквенный соус, кофе и даже тыквенный пирог. Максим был тронут — Хилберт предпочел провести часть праздника вместе с ним, а не с семьей, хотя не обязан был это делать.

Вести о «Городе Муравьёв» стали расползаться по бюро, и другие ведомства ФБР стали обращаться за помощью к Хилберту и Попову. В феврале 2003 года в их штаб пришло самое крупное дело: взлом системы Data Processing International с последующей кражей 8 миллионов банковских карт. Попов начал искать информацию на CarderPlanet и вышел на 21-летнего русского студента под ником RES, который хвастался тем, что «знает трёх нужных парней, которые помогут организовать сделку». Попов предложил купить сразу все кредитки за 200 тысяч долларов, но взамен хотел получить контрольную карточку для Хилберта. RES отказался. Попов не был крупной рыбой, и его настораживала сумма сделки в 200 тысяч долларов.

Тогда Хилберт пошёл на хитрость. Он договорился с местным банком, переодел Попова и завёл его внутрь, где перед парнем выложили гору наличных долларов и поставили камеру. «Смотри, вот мое бабло. Реальное бабло, никакой болтовни!», — развязано говорил Попов, поднося деньги поближе к камере. — «Все грёбаные ватермарки на месте, а я не кидало. Так что дай мне свой мобильный и мы поговорим, как бизнесмены».

Этого сообщения оказалось достаточно — русский хакер расслабился и выложил карты на стол. Узнать его настоящее имя оказалось проще простого — Попов похвастался, что работает в компании HermesPlast, которая занимается производством пластиковых карт. И вскользь добавил, что его босс Анатолий Фельдман подыскивает головастых сотрудников. В тот же день RES отправил своё резюме и скан паспорта на фейковую почту Фельдмана. Эта изящная и универсальная схема ещё не раз выручала «Город Муравьёв».

8 августа 2003 года Попов прибыл в тюрьму Санта-Ана, чтобы услышать приговор. 8 месяцев напролёт он дневал в штаб квартире «Города Муравьёв» и ночевал за тюремной решёткой. Учитывая его пользу для государства, судья приговорил Максима к 3 годам домашнего ареста. Гилберт тут же подсуетился и выбил для парня стипендию в тысячу долларов и небольшую квартиру в округе Ориндж, Калифорния, в 8 километрах от Диснейленда. Но его жизнь не стала легче. У Попова не было грин карты и номера социального страхования, он не мог найти легальную работу и получить водительские права. К тому же, он никак не мог привыкнуть к жизни в пригороде поодаль шумного шоссе и полосы минимаркетов.

Однажды на остановке к нему подплыл какой-то забулдыга и начал требовать деньги. Попов испугался и влепил ему в челюсть. Забулдыга упал и уснул на тротуаре, а украинец стал лихорадочно искать номер Хилберта, уверенный, что теперь ему точно не избежать тюрьмы. «Если я выберусь, то свалю домой», — дал себе обещание Попов. Ему повезло — тот же судья Картер, который судил его в прошлый раз, сжалился и разрешил ему съездить повидать родных в Украину. Вернуться в Калифорнию отбывать свой трёхлетний срок Максим должен был 18 августа.

Когда Хилберт провожал его на самолет, то понимал, что они видятся в последний раз — Попов не дурак и не захочет возвращаться к такой жизни. Впрочем, за это время отдел «Город Муравьёв» вернул 400 тысяч украденных кредиток, обнаружил и предупредил 700 взломов корпоративных систем и поймал 10 хакеров, включая Скрипта. Правда, ни один из них так и не был экстрадирован в США. Они хорошо поработали.
В Украине Попов открыл компанию Cybercrime Monitoring Systems, которая выуживала из тёмных уголков интернета информацию о возможных взломах со стороны восточноевропейских хакеров. Фактически это была украинская копия «Города Муравьёв», которая работала легально. Кстати, Попов продолжал поддерживать отношения с Хилбертом, постоянно снабжая его новой информацией и советами, как в старые добрые времена.

В новогоднюю ночь 2003 года телефон Хилберта зазвонил. На том конце он узнал акцент своего украинского друга: «Привет. У меня есть кое-что для тебя». Попов объяснил агенту, что он обнаружил серьёзный взлом — в этом раз жертвой был не банк, а само ФБР. На протяжении месяцев украинец следил за группой российских хакеров, которые пользовались древней технологией X.25. Эта штука была популярна в 70-80 года, но в эпоху интернета выглядела, как старая видеокассета верхом на стопке DVD. Тем не менее, сотни государственных учреждений продолжали использовать эту технологию.

Русские неспешно копались в этом болотце до тех пор, пока не взломали сервер национальной телекоммуникационной компании AT&T в Нью-Джерси, где хранились данные нескольких государственных учреждений, включая ФБР. Неожиданно для себя русские хакеры выудили из болотца сети X.25 целого кита — отныне у них был доступ ко всем почтовым ящикам агентов бюро с адресом FBI.gov.

Спустя несколько часов самолёт Хилберта приземлился в Вашингтоне, где его ждала верхушка ФБР. На встрече агент потребовал 10 тысяч долларов гонорара для компании своего друга. В ответ на недовольство начальства (Попов ведь так и не вернулся в США) Гильберт положил на стол 11-страничное досье на крупную шишку с CarderPlanet по кличке Король Артур и список будущих целей бюро с разделением на юрисдикции. Список хакеров, которые находились под прицелом бюро, был золотой жилой для хакеров. Белый Дом уже ввели в курс событий. Ставки росли, и Хилберт попросил Попова о большем.

В секретном чате беглый украинский хакер свёл своего друга с лидером группировки X.25. Будучи мастером манипуляций, Хилберт сумел вытянуть из него нужную информацию — парня звали Леонид «Eadle» Соколов, он учился в одном из университетов Питера и признался во взломе. Гилберт был уверен, что держит яйца Соколова в своей руке и это будет крупнейшее дело в его карьере.

Но всё пошло не так. 10 февраля Хилберт стоял посреди конференц-зала в центральном офисе имени Гувера. Его сверлили шесть пар глаз — пятеро были членами бюро, по центру сидел федеральный прокурор. Он был зол. Как оказалось, во время взлома хакеры украли программный код VMware, крупнейшего игрока на рынке виртуализации ПК. Это была серьёзная проблема.

Попов предложил решить её за небольшое вознаграждение, но в штабе EMC, боссы которой были на широкой ноге с правительственной верхушкой страны, посчитали это вымогательством. И обратились в ФБР. А теперь прокурор обращался к Хилберту, требуя раскрыть информацию о том, кто такой Денис Пинхаус и почему в рекомендациях он указал имя агента Гилберта. Тот был в курсе, что это рабочий псевдоним Попова, но отказался раскрывать карты. Хотя и понимал, что при желании прокурор может завести дело на Дениса Пинхауса и по хлебным крошкам в архивах ФБР докопаться до настоящего имени Попова. Добравшись до компьютера, в секретном чате Гилберт попросил друга оборвать контакты с EMC и уйти в тень — ситуация становилась слишком опасной.

Тем временем сам он вернулся к делу о взломе AT&T. Вину Соколова быстро доказали, и в Интерпол пришла секретная папка с требованием арестовать русского хакера, как только он выедет из России и покажется в стране, которая экстрадирует в США. А на счету Попова появились 10 тысяч долларов и благодарность за помощь от бюро. Саму историю взлома AT&T быстро замяли — в прессе появилось всего несколько упоминаний об опасном инциденте, но глава пресс-службы бюро сбил спесь с репортёров, сообщив, что хакеры не украли ничего важного.

Казалось, что всё закончилось хорошо, но дело о взломе EMC и VMware прочно засело в голове Хилберта. Спустя 4 месяца ему пришёл приказ обрубить контакты с Поповым и предоставить расшифровку их общих чатов за последние 18 месяцев. Самого Хилберта перевели из отдела киберпреступности в антитеррористическое подразделение. Он с энтузиазмом отнёсся к новой должности, но всё шло наперекосяк — его неохотно приставляли к наградам, коллеги избегали его общества, и он чувствовал себя прокажённым.

В 2006 году его отказались повысить и терпение лопнуло. Ворвавшись в офис своего куратора с вопросом «какого хрена происходит», он услышал, что находится под подозрением. Оказалось, что министерство юстиций и отдел внутренних расследований уже год копают под агента, пытаясь установить связь между взломом EMC, Поповым/Пинхаусом и Хилбертом. В бюро считали их соучастниками, но не могли этого доказать.

Он чувствовал себя опустошённым — работа в ФБР была его мечтой, дома его ждали беременная жена и двое детишек, но сейчас прямо перед его носом опустили шлагбаум. Агент начал искать варианты работы в частном секторе и в феврале 2007 года положил на стол босса значок и пистолет. Но последняя глава этой истории ещё не была написана.

Хилберт отлично чувствовал себя в роли консультанта, когда Попов снова позвонил ему. С момента их последнего разговора прошло шесть лет. Попов звонил не по делу, он просто хотел поблагодарить старого друга. «Максим прошёл сложный путь», — вспоминает бывший агент. — «Он решил изменить свою жизнь. Теперь у него есть дом, есть семья и бизнес. И всем этим он обязан мне. Это были его слова». Звонок был призван расшевелить в Хилберте старое чувство недоверия к государству — с момента его ухода из бюро его продолжали тревожить звонками, расспросами и визитами в офис. Министерство юстиций закрыло дело по EMC лишь в 2009 году, оправдав и Попова, и Хилберта.

В частотной беседе журналисту Wired Попов пересказывал то же, что сказал Гилберту. Только лейтмотив был немного другой — Попов затаил обиду на EMC. Когда он звонил Хилберту, эта проблема была решена. Оказалось, что в 2005 году боссы EMC заключили с ним сделку: 30 тысяч долларов за консультацию и ещё 40 тысяч за четырёхлетнюю защиту программного кода от хакеров. Когда спустя четыре года Попов попросил вторую часть денег за выполненную работу, ему отказали.

На тот момент VMware была отдельной компанией — похоже, EMC хотела спрятать концы в воду, как будто никакого взлома никогда и не было. По крайней мере, так считал Попов. Такое отношение зацепило украинца за живое, он жаждал справедливости. Попов придумал новое альтер эго — русского хакера Hardcore Charlie, который был связан с группировкой Anonymous. 24 апреля 2013 года, спустя почти 8 лет с момента первого взлома EMC, в сети всплыли первые 520 строчек кода программы VMware.

Утечка заставила нервничать мир IT и наэлектризовала обстановку в офисе VMware в Пало-Альто. Предыдущий взлом ещё был свеж в их памяти, к тому же, часть украденного тогда кода всё ещё использовалась в их софте. Бывший офицер британского спецназа, а ныне начальник безопасности компании Ян Малхолланд активизировал всех специалистов по безопасности, до которых только мог дотянуться. Нужно было защитить ядро программы, чего бы это ни стоило. Спустя 10 дней вышел первый патч, который залатал часть дыр. Когда в ноябре Попов слил вторую часть кода, первую часть кода уже залатали.

По масштабам эта работа была слишком сложной для консультанта по кибербезопасности. Позже Попов подтвердил то, что уже было очевидно — взломы EMC и ФБР не были работой никому не известного российского хакера. «Технически это сделали мы c Соколовым», — сказал автору Wired Попов во время телефонного разговора.

Питерский хакер Соколов, которого в ФБР вели с момента взлома их сервером, работал в паре с Поповым с самого начала. «Он лучший из лучших», — описывает Соколова Попов. Когда они взломали серверы AT&T, то думали, что госкомпания легко расстанется с требуемыми 150 тысячами, чтобы защитить государственные данные и залатать бреши в системе. Когда AT&T отказались, Попов позвонил Хилберту в надежде, что верхушка ФБР окажется более сговорчивой.

Когда они договорились, Попов отдал Соколова Хилберту, так как понимал, что ему ничего за это не будет, ведь никого из обвинённых ранее хакеров не экстрадировали в США. По словам Попова, Хилберт не знал об афере, хотя наверняка о чем-то догадывался.

Максим не испытывает сожалений о взломе ФБР. Но его дерзость уходит, когда я спрашиваю о последствиях, которые его двойная игра оказала на карьеру друга. Он всё ещё помнит день благодарения и «Властелина Колец». «Он был моим единственным другом, — говорит он о Гилберте. — Я люблю его, хотя он и перестал разговаривать со мной, когда эта история получила огласку. Но я взломщик, им и останусь, такова моя натура. Но какая разница? Я всё равно люблю его».

В последние 10-летия атаки восточноевропейских хакеров участились. Через дыры в защите сетей магазинов Target и Home Depot они вытащили данные более 100 тысяч карт. Затем был троян ZeuS, здорово потрепавший нервы работникам банковской системы, и вредоносный код, который воровал файлы из кода биткоина. Современный восточноевропейский хакер больше не ворует банковские карты. Он пишет софт, который прилипает к коду банковских систем и ломает их изнутри. А этот софт продаёт на чёрном рынке настоящим ворам. Теперь у каждого из них есть специальность, каждому платят. И хотя Хилберт немного ошибся насчёт Попова, он был прав в том, что мир находится на пороге новой войны. А их «Город Муравьев» стал одним из первых отделов, который боролся с цифровой чумой.

H2
H3
H4
3 columns
2 columns
1 column
2 Comments