Охота на русского хакера

Отличный, в чем-то кинематографичный лонгрид WIRED о долгой охоте американцев за неуловимым русским хакером читается легко, как детектив-бестселлер. Предлагаем вам окунуться в историю с кибер-атаками, спецагентами и русскими в леопардовых пижамах.

Утром 30 декабря 2016 года, на следующий день после того, как Барак Обама ввел санкции против России за вмешательство в выборы США, Тиллманн Вернер завтракал в немецком городе Бонн. Он намазал немного джема на хлеб, налил себе чашку кофе и приготовился читать свой Твиттер.

Новости о санкциях стали появляться ночью, так что Вернер только начинал входить в курс дела. Вернер, исследователь в фирме по обеспечению кибербезопасности CrowdStrike, увидел, что в санкционный список попали ФСБ и ГРУ, начальник ГРУ и три его заместителя, 35 дипломатов, три технологические компании и два хакера. Тут Вернер перестал скроллить: его взгляд наткнулся на имя «Евгений Михайлович Богачев».

Как оказалось, Вернер знал кое-что о Евгении Богачеве. Он знал подробности и детали того, как Богачев безнаказанно обчищал и терроризировал мировые финансовые системы годами. Он знал, каково это — бороться с ним.

Но Вернер не представлял себе, какую роль Богачев мог сыграть во вмешательстве русских хакеров в президентские выборы в США. Богачев отличался от остальных товарищей по санкционному списку — он был грабителем банков. Возможно, на его счету было больше банковских ограблений, чем у кого-либо еще. «Какого черта он делает в этом списке?», подумал Вернер.

1. ОМАХА

Война Америки с величайшим киберпреступником России началась весной 2009, когда специальный агент Джеймс Крейг, новичок в региональном отделении ФБР в Омахе, штат Небраска, начал расследовать пару странных кибер-хищений. Бывший морпех с квадратной челюстью, Крейг был агентом всего лишь полгода, но его все равно назначили расследовать это дело, поскольку он годами сотрудничал с ФБР в области IT. В колледже его прозвищем было «Молчаливый гик».

Главным пострадавшим в деле была дочерняя фирма процессингового гиганта First Data, которая потеряла 450 тысяч долларов. Затем последовала кража 100 тысяч долларов у клиента Первого национального банка Омахи. Крейг заметил одну странность — казалось, что кражи были совершены с IP-адресов самих жертв, с использованием их логинов и паролей. Исследовав их компьютеры, он увидел, что они заражены одним и тем же вирусом — троянским конем Zeus.

Крейг узнал, что Zeus был печально известен в кругах онлайн-безопасности. Впервые появившись в 2006 году, вирус завоевал признание и у преступников и у секьюрити-экспертов как эффективная, разносторонняя и безотказная программа. Автор был загадкой. Он был известен лишь онлайн под никами «Славик», lucky12345 и дюжиной других прозвищ.

Zeus заражал компьютеры типичным образом: через фейковые письма от налоговой или извещения от доставки UPS, которые побуждали пользователя скачать вредоносный файл. Оказавшись в компьютере, Zeus позволял хакерам играть в Бога. Они могли похищать юзернеймы, пароли и ПИН-коды. Хакеры могли изменять формы логина, чтобы запрашивать дальнейшую секретную информацию: девичью фамилию матери, номер карты соцобеспечения. Эта хитрость известна как атака «человек в браузере». Пока вы логинитесь на с виду безопасный сайт, вирус модифицирует его страницы еще до их загрузки, высасывая ваши данные и деньги на вашем счету так, что вы и не поймете, что произошла кража, пока не зайдете на сайт с другого компьютера.

К тому времени, как Крейг начал свое расследование, Zeus стал самым популярным хакерским решением, своего рода Microsoft Office для мошенников. «Славик» был настоящим профессионалом: он регулярно обновлял код Zeus, проводил бета-тест новых фич. Его продукт был бесконечно гибким, с вариациями, оптимизированными под разные типы атак и целей. Компьютер, зараженный Zeus, мог стать звеном в цепи ботнет, сети зараженных компьютеров, объединенных для запуска рассылок еще большего количества е-мейлов для дальнейшего распространения вируса, спам-серверов, DDoS-атак.

До того, как Крейг занялся своим делом в 2009 году, «Славик» изменил свой подход. Он начал собирать внутренний круг онлайн-преступников, обеспечивая избранных вариацией вируса под названием Jabber Zeus. Эта модификация отличалась встроенным плагином протокола мгновенного обмена сообщениями Jabber и позволяла группе общаться и координировать свои атаки — как, например, те две кражи в Омахе. Широкомасштабному повальному заражению они предпочитали таргетированные атаки на корпоративные аккаунты и на людей с доступом к финансовым системам.

Когда «Славик» перешел к организованной преступности, то он резко сократил свой бизнес по разработке общедоступного вируса. В 2010 году он объявил, что «уходит на пенсию» и выпустил Zeus 2.1, продвинутую версию вредоносной программы, защищенную ключом шифрования (таким образом, привязывая каждую копию к определенному пользователю), с ценником до 10 тысяч долларов за копию. Теперь «Славик» имел дело только с элитой, амбициозной группой преступников.

«Мы даже не представляли себе, насколько это крупное дело», говорит Крейг. «Активность у этих парней была просто феноменальная». Все больше и больше организаций стали сообщать о своих потерях и кражах денег со счетов. Крейг понял, что сидя в своей затерянной Омахе, он преследует хорошо организованную международную криминальную сеть. «Количество жертв напоминало сход снежной лавины», признался Крейг. Ранее ФБР не сталкивалось с киберпреступлением такого размаха.

2. JABBER ZEUS

Первый прорыв Крейга в деле произошел в сентябре 2009 года. С помощью некоторых экспертов удалось идентифицировать один сервер в Нью-Йорке, игравшем какую-то роль в сети Zeus. Спецагент получил ордер на обыск, и криминальные эксперты ФБР скопировали данные с сервера на хард, переслав его в Небраску. Когда инженер в Омахе ознакомился с результатами, он некоторое время сидел в изумлении. На жестком диске содержались десятки тысяч чат-логов на русском и украинском. Посмотрев на Крейга, инженер произнес: «Ты заполучил их Jabber-сервер».

Это была дорожная карта ко всему делу. Фирма кибербезопасности Mandiant на несколько месяцев отправила своего инженера в Омаху, чтобы помочь распутать код Jabber Zeus, ФБР начала командировать сюда своих агентов из других регионов на 30- и 90-дневные сроки, а лингвисты со всей страны начали расшифровывать логи. «Главной трудностью был сленг преступников», говорит Крейг.

Сообщения содержали отсылки к сотням жертв, их похищенные данные были разбросаны по всем файлам. Крейг и другие агенты стали прозванивать организации, сообщая им о том, что они стали жертвой преступников. Оказалось, что некоторые фирмы уже уволили своих сотрудников, заподозрив их в краже, не поняв, что их компьютеры были заражены, а логины украдены.

Также дело вышло в офлайн. Трое девушек из Казахстана обратились в отделение ФБР в Нью-Йорке со странной историей. Они приехали в Штаты в поисках работы и оказались участницами любопытной схемы: мужчина вез их в банк, велев открыть там счета. В банке они представлялись студентками, приехавшими в США на лето. Через несколько дней он отвозил их обратно, с просьбой обналичить всю сумму. Немного денег они оставляли себе, а остальное передавали мужчине. Агенты поняли, что женщины стали «прачками», «денежными мулами», чья работа состояла в том, чтобы обналичивать незаконные средства, которые «Славик» сотоварищи вытянул с чьих-то счетов.

К лету 2010-го следователи в Нью-Йорке предупредили банки в регионе о подозрительных снятиях со счетов и попросили в таких случаях вызывать агентов ФБР. В результаты были пойманы десятки «мулов», снимающих десятки тысяч долларов. Большинство из них были студентами или новоприбывшими иммигрантами с Брайтон-Бич. Одна женщина объяснила агенту, что стала «мулом» после потери работы в магазине: «Я могла либо сделать это, либо пойти в стиптизерши». Другой мужчина рассказал, что его подбирали в 9 утра, возили по банкам до 3 дня, а затем он шел на пляж. Большинство сумм было в районе 9 тысяч долларов, в пределах лимита, доступного к снятию без федеральной отчетности. «Мул» получал от 5 до 10% от суммы, еще некоторая доля доставалась его нанимателю. Все остальные деньги переводились за рубеж.

Вскоре следователи обнаружили, что США были лишь одним из рынков международного мошенничества. Аналогичные схемы были использованы в Румынии, Чехии, Великобритании, Украине и России. Официальный ущерб от краж, на след которых вышли детективы, составил от 70 до 80 миллионов долларов, но общая сумма могла быть куда больше.

Банки требовали от ФБР прекратить это преступление и залатать дыры в безопасности. За лето агенты в Нью-Йорке сократили круг подозреваемых до высших рекрутеров и руководителей схемы. Два молдованина были арестованы в гостинице, один подозреваемый в Бостоне затеял пожар в квартире своей подруги, пытаясь уйти от ареста, его пришлось спасать.

Тем временем, Крейг в Омахе сконцентрировался на банде Jabber Zeus. ФБР и Минюст вышли на местность на востоке Украины, под Донецком, где скрывались лидеры Jabber Zeus. Алексей Брон, известный под ником thehead, специализировался на передвижениях денежных сумм банды по всему миру. Иван Викторович Клепиков под ником petr0vich занимался вопросами IT, веб-хостинга и доменов. А Вячеслав Игоревич Пенчуков, известный местный ди-джей, под ником tank, управлял всей схемой, являясь, таким образом, вторым по важности после «Славика». «Организованности этих ребят — каждому было по 20 с чем-то лет — могла позавидовать любая компания из списка Fortune 100», сказал Крейг. Свои доходы банда тратила на дорогие автомобили (у Пенчукова было пристрастие к топовым BMW и Porsche, а Клепиков предпочитал спортивные седаны Subaru WRX), а логи чатов пестрили обсуждениями отдыха в Турции, Крыму и ОАЭ.

К осени 2010 года ФБР было готово покончить с Jabber Zeus. В то время как в Вашингтоне высокие чины созывали пресс-конференцию, Крейг ехал на гремящем поезде через всю Украину в Донецк. Там он встретился со своими местными коллегами из службы безопасности, чтобы совершить облаву на дома «Танка» и «Петровича». У «Петровича» украинский агент попросил Крейга посветить своим фэбээровским значком: «Покажи ему, что здесь не только мы». Крейг был ошеломлен увиденным: хакер в сиреневом вельветовом халате невозмутимо смотрел, как агенты переворачивают его захламленную квартиру в доме советской эпохи, его жена с ребенком смеялась с агентами на кухне. «И это та самая банда, которую я преследовал?», подумал Крейг. Обыски продолжались до 3 утра, с собой в Омаху он привез около 20 терабайтов данных.

В четырех странах следователями было совершено 39 арестов, таким образом, им удалось подорвать криминальную деятельность хакеров. Но ключевым игрокам все-таки удалось ускользнуть. Один топовый рекрутер «мулов» в США сбежал на запад, оставаясь на шаг впереди преследователей, пока наконец не покинул страну, спрятавшись в корабельном контейнере. Но что важнее всего, «Славик», сам злой гений, оставался полной загадкой. Следователи полагали, что он живет в России, а однажды в чате они нашли намек на то, что он женат. Кроме этого, у них ничего не было. Обвинение было выдвинуто псевдониму создателя Zeus. Крейг даже не знал, как он выглядит. Среди тысяч фотографий, конфискованных у «Танка» и «Петровича», они не нашли никого похожего на «Славика». «Славик», кем бы он ни был, ушел в тень. И спустя семь лет преследований Jabber Zeus, Джеймс Крейг взялся за другие дела.

3. ИГРА НЕ ОКОНЧЕНА

Спустя год после того как ФБР накрыла Jabber Zeus, небольшое сообщество исследователей кибербезопасности, следящее за вредоносными программами и ботнетами, стало замечать появление новых вариантов Zeus. В 2011 году исходный код Zeus — нарочно или нет — просочился в сеть, по сути превратив Zeus в открытый проект, спровоцировав бум появления новых вариантов. Но внимание исследователей привлекла одна особенная вариация: более мощная, более изощренная, особенно в плане по созданию ботнетов.

До тех пор большинство ботнетов использовали звездообразную систему: хакер программирует один командный сервер для распространения задач напрямую зараженным машинам, известным как «зомби-компьютеры». Затем армия живых мертвецов может распространять спам, вредоносные программы или проводить DDoS-атаки. Но подобная звездообразная система делает ботнеты уязвимыми для правозащитников и онлайн-секьюрити. Если «уронить» командный сервер, то ботнет прекращает работать.

Новая вариация Zeus основывалась на традиционных серверах и р2р-коммуникациях между зомби-компьютерами, что усложняло задачу по выводу таких ботнетов из строя. Зараженные машины держали постоянно обновляемый список других зараженных машин. Если одно устройство фиксировало разрыв соединения с командным сервером, то оно полагалось на р2р-сеть, чтобы найти новый командный сервер.

Таким образом, сеть с самого начала была задумана так, чтобы ее было сложно остановить.  Как только командный сервер уходил офлайн, владелец ботнета мог создать сервер в любом другом месте и направить р2р-сеть туда. Эта новая вариация получила название GameOver Zeus по имени одного из своих файлов, gameover2.php. Такое название породило шутку среди экспертов по безопасности: если эта штука заразит ваш компьютер, то для ваших банковских счетов игра окончена.

Судя по всему, GameOver Zeus контролировался ограниченной группой хакеров, и их лидером был «Славик». Он появился вновь, еще более могущественный, чем прежде. Новая тусовка «Славика» получила название «Бизнес-клуб». В сентябре 2011 во внутреннем послании к группе, знакомившем ее членов с новыми инструментами организации денежных переводов и «мулов», «Славик» пожелал «всем успешной и продуктивной работы».

Как и у Jabber Zeus, главной целью членов «Бизнес-клуба» были банки, с которыми они расправлялись с еще более беспощадной изобретательностью, чем раньше. Подход был комплексным: прежде всего, GameOver Zeus похищал данные клиента банка, когда он входил в свой аккаунт с зараженного компьютера, затем «Бизнес-клуб» обчищал счет банка, переводя средства на свои счета. После завершения кражи, группа совершала с помощью ботнета DDoS-атаку на банк, отвлекая его работников на восстановление, а клиентов от осознания того, что их счет пуст. Так, 6 ноября 2012 года, ФБР стало свидетелем того, как GameOver украло 6,9 миллионов долларов одной транзакцией, а потом на несколько дней «уронило» банк DDoS-атакой.

В отличие от банды Jabber Zeus, организация, стоящая за GameOver фокусировалась на 6-7-значных суммах, размах, при котором снятия со счетов в Бруклине становились бессмысленными. Вместо этого они начали прятать свои огромные хищения за триллионами легитимных долларов, крутящихся в международных банковских системах. Следователи определили две области в дальневосточном Китае, неподалеку от Владивостока, где «мулы» перечисляли огромные суммы краденых денег на счета «Бизнес-клуба». Организованная преступность совершила эволюционный прорыв: теперь грабителям банков не надо было базироваться в США. Они могли делать все дистанционно, не нарушая юрисдикцию США. «Вот и все, что требуется для безнаказанности», говорит Лео Таддео, бывший высший чиновник ФБР.

4. ОСТАНОВИТЕ КРОВОТЕЧЕНИЕ

Банки не были единственной целью организации. Они также атаковали счета общественных организаций, больших и малых, а также физических лиц. В октябре 2013-го группа «Славика» запустила вредоносную программу под названием CryptoLocker, цифрового шантажиста, который зашифровывал файлы на инфицированной машине и заставлял ее владельца заплатить маленькую сумму от 300 до 500 долларов за разблокировку файлов. Вскоре программа стала излюбленным средством киберпреступников, отчасти потому, что она позволяла мертвому грузу стать прибыльным. Проблема в массивном ботнете, нацеленном на крупномасштабные финансовые махинации, состоит в том, что большинство его зомби-компьютеров не имеют доступа к жирным корпоративным счетам. В ботнете «Славика» состояли десятки тысяч в основном бесполезных зомби-компьютеров. И хотя программа-шантажист не приносила огромных прибылей, все равно это был неплохой способ монетизации инфицированных компьютеров.

Концепт программ-шантажистов существовал еще с 90-х, но CryptoLocker сделал его мейнстримом. Проникнув в компьютер жертвы под видом почтового вложения, программа зашифровывала файлы и заставляла владельца оплачивать «выкуп» с помощью биткоинов. Это было неудобно, но многие поддавались. Так, полицейский департамент в Суонси, Массачусетс, в ноябре 2013 года перевел 750 долларов, чтобы вернуть файлы на одном из своих компьютеров. «Такой сложности вирус, что нам пришлось купить биткоины, о которых даже не слыхивали», сообщил лейтенант Грегори Райан в интервью местной газете.

Компания кибербезопасности Dell SecureWorks оценила, что 250 тысяч компьютеров в мире заражены CryptoLocker. Один исследователь проследил 771 сделку, которая принесла «Славику» около 1,1 миллиона долларов. «Он одним из первых понял, что люди в отчаянии будут готовы пойти на многое, чтобы восстановить доступ к своим файлам», сказал Бретт Стоун-Гросс, исследователь в Dell SecureWorks. «Он не требовал огромных сумм, но получил на этом достаточно много денег и создал новый вид онлайн-преступности».

По мере того, как сеть GameOver продолжала набирать силу, ее члены продолжали наращивать потоки прибыли: они сдавали сеть в аренду другим преступникам для распространения спама или вирусов, или для мошенничества с кликами — зомби-машины собирали доход, кликая на баннеры на фейковых сайтах.

С каждой неделей урон, наносимый банкам, бизнесам и частным лицам, рос. Для бизнесов кражи могли составить сумму, равную годовому доходу. Жертвами пали многие — от местного банка на севере Флориды до индейского племени в штате Вашингтон. В борьбу с GameOver частная индустрия кибербезопасности вкладывала все больше и больше усилий. «Не думаю, что кто-либо в полной мере представлял себе масштаб происходящего. Одна кража в 5 миллионов долларов затмевала сотни маленьких краж. Когда на банк проводится массовая атака — 100 транзакций в неделю — перестаешь заботиться о каком-то вирусе или индивидуальной атаке. Все, что тебе нужно, заткнуть это кровотечение», говорит Майкл Санди, эксперт по безопасности в голландской фирме Fox-IT.

Многие пытались остановить кровотечение. С 2011 по 2013 несколько фирм и исследователей по кибербезопасности предприняли три попытки остановить GameOver Zeus. Три европейских исследователя объединили свои усилия, чтобы нанести первый удар весной 2012 года. «Славик» с легкостью отразил их атаку. Затем, в марте 2012-го, отдел Microsoft по борьбе с цифровыми преступлениями подал гражданский иск против GameOver Zeus, федеральные маршалы совершили облаву на дата-центры в Иллинойсе и Пенсильвании, где находились серверы Zeus, в иске фигурировало 39 лиц, первым из них был «Славик». Но Microsoft не удалось подорвать деятельность GameOver. Наоборот, «Славик» понял, что следователям известно о его сети,  и улучшил свою тактику.

5. НАПАДЕНИЕ

Борцы с ботнетом — это маленькая группка инженеров и исследователей компьютерной безопасности, называющих себя «интернет-дворниками». Внутри этой группы Тиллманн Вернер — высокий и тощий немецкий исследователь в фирме CrowdStrike — стал известен благодаря своему энтузиазму. В феврале 2013 года он вживую, прямо во время конференции по кибербезопасности, перехватил контроль над ботнетом Kelihos, известном своим спамом с виагрой. Но Kelihos — это не GameOver Zeus. Вернер наблюдал за GameOver Zeus с самого начала, дивясь его силе и жизнестойкости.

В 2012 году он связался со Стоун-Гроссом, который всего несколько месяцев назад окончил школу, и с несколькими другими исследователями, чтобы скоординировать свои усилия по атаке на GameOver Zeus. Работая на двух континентах в свое свободное время, мужчины планировали свои действия через чат. Они тщательно изучили предыдущий европейский опыт, его слабые места и провели год в подготовке.

В январе 2013 года, набрав побольше пиццы, они были готовы к долгой осаде сети «Славика». «Когда ты идешь против ботнета, у тебя есть право на один удар. Либо он попадет в цель, либо нет», сказал Вернер. Их план состоял в перемаршрутизации GameOver сети р2р, ее централизации и дальнейшего редиректа трафика на новый сервер под их контролем — процесс известный как «водосток». Таким образом, они надеялись прервать связь ботнета со «Славиком». На первый взгляд, все пошло хорошо. «Славик» не подавал признаков борьбы и Вернер со Стоун-Гроссом наблюдали, как больше и больше зараженных компьютеров «сливались» в их «водосток» час за часом.

На пике своей атаки они контролировали 99% сети «Славика». Но они не предусмотрели главный источник жизнестойкости системы: маленькая часть зараженных компьютеров все еще «общалась» секретным образом с командными серверами «Славика». «Мы упустили этот второй слой контроля», говорит Стоун-Гросс. Ко второй неделе Славику удалось запустить обновленную программу на все компьютеры в сети и восстановить свое владычество. Исследователи с ужасом наблюдали за тем, как новая версия GameOver Zeus распространялась по интернету и р2р-сеть «Славика» начала вновь соединяться. «Мы сразу же поняли, что случилось. Мы совершенно проглядели этот запасной канал коммуникации», говорит Вернер.

Задумка исследователей, которую они вынашивали 9 месяцев, провалилась. «Славик» выиграл. В онлайн-чате с польскими «безопасниками» он насмехался над тем, какими тщетными были попытки перехватить контроль над его сетью. «Я думаю, он был уверен в том, что «уронить» его ботнет невозможно», говорит Вернер. Испытав неудачу, двое исследователей были готовы попробовать снова. Но им была нужна помощь. Из Питтсбурга.

6. ПИТТСБУРГ

В последние десять лет, отделение ФБР в Питтсбурге стало одним из самых продуктивных в стране по расследованию киберпреступлений, во многом благодаря руководителю местного отдела по борьбе с киберпреступностью, бывшему торговцу мебелью, Дж. Кейту Муларски.

Азартный и общительный агент родом из Питтсбурга, Муларски — своего рода знаменитость в кругах кибербезопасности. Он поступил на работу в ФБР в конце 90-х и провел первые семь лет расследуя дела по шпионажу и терроризму в Вашингтоне. В 2005 году, несмотря на то, что был еще мало знаком с компьютерами, он воспользовался шансом вернуться на родину в Питтсбург и перешел в только что созданный отдел по борьбе с киберпреступностью. Муларски получил необходимый опыт, работая два года под прикрытием, расследуя кражи личностей на форуме DarkMarket. Под ником Master Splyntr, позаимствованном из мультика «Черепашки-ниндзя», он сумел стать администратором форума, став в центре цветущей онлайн-преступности. Он даже общался со «Славиком» в чате и делал обзор ранней версии Zeus. Его доступ к DarkMarket привел к аресту 60 людей на трех континентах.

В последующие годы он решил активно вкладываться в борьбу с киберпреступностью, ставя на рост ее важности. К 2014 году агенты Муларски совместно с другим отделом вели одно из самых громких дел Минюста. Два агента Муларски, Эллиотт Петерсон и Стивен Дж. Лампо, преследовали хакеров GameOver Zeus, в то время как их коллеги одновременно расследовали дело пяти хакеров китайской армии, которые проникли в компьютеры Westinghouse, US Steel и других компаний.

ФБР вело дело о GameOver Zeus уже около года, к тому времени как Вернер и Стоун-Гросс предложили питтсбургскому отделу объединить свои силы по борьбе с ботнетом «Славика». Если бы они обратились в любые другие правоохранительные органы, то могли бы получить другой ответ. Государственное сотрудничество в этой индустрии все еще было редкостью, федералы не делились информацией. Но команда в Питтсбурге имела большой опыт в сотрудничестве и знала, что эти два исследователя были лучшими в своем деле. «Мы воспользовались этим шансом», сказал Муларски.

Обе стороны осознавали, что для того, чтобы сразить ботнет, придется действовать одновременно на трех фронтах. Прежде всего, предстояло выяснить, кто ведет GameOver и составить обвинение. Даже спустя миллионы долларов в кражах, ни у ФБР, ни у кибербезопасности не было ни единого имени члена «Бизнес-клуба». Во-вторых, они должны были разрушить цифровую инфраструктуру GameOver, здесь вступали в дело Вернер и Стоун-Гросс. И в-третьих, они должны были физически прервать деятельность системы, добиваясь выпуска ордеров и обращаясь за помощью к другим государствам, чтобы перехватить сервера по всему миру. После всей этой работы им требовалась помощь партнеров в частном секторе, чтобы иметь наготове необходимые обновления ПО и патчи безопасности, чтобы помочь инфицированным компьютерам восстановиться, когда «хорошие парни» возьмут контроль на ботнетом. Без всех этих шагов, любая попытка остановить GameOver Zeus была обречена на провал как и предыдущие.

Отдел Муларски начал налаживать такие международные партнерские отношения, какие еще не видывало правительство США: с правоохранительными органами Великобритании, Швейцарии, Нидерландов, Украины, Люксембурга, дюжиной других государств, а также с экспертами индустрии в Microsoft, CrowdStrike, McAfee, Dell SecureWorks и с другими компаниями.

Чтобы установить личность «Славика» и провести разведку в «Бизнес-клубе», ФБР скооперировалось с Fox-IT, голландской компанией, известной своей экспертной деятельностью в кибер-криминалистике. Голландцы принялись отслеживать старые никнеймы и е-мейл адреса из круга общения «Славика», чтобы понять, каким образом функционировала его группа.

Оказалось, что «Бизнес-клуб» — это союз около 50 преступников, которые платили вступительный взнос для получения доступа к контрольной панели GameOver. Сеть работала через два защищенных паролем британских сайта visitcoastweekend.com and work.businessclub.so, на которых были записи, FAQ и тикет-система для решения технических вопросов. Следователи получили разрешение на проникновение в сервер «Бизнес-клуба», где нашли детализированный журнал учета, отслеживающий все текущие махинации группы. «Все источало профессионализм», говорит Майкл Санди из Fox-IT. В том, что касалось точного тайминга в транзакциях между финансовыми институтами, они были «более сведущими, чем сами банки».

7. ШПИОНСКАЯ ПРОГРАММА

Однажды, спустя месяц охоты на лидеров, следователи в Fox-IT наткнулись на подсказку касательно одного е-мейл адреса. Это был один тех из многочисленных следов, которые они изучали. «У нас было множество хлебных крошек», говорит Муларски. Но эта привела к чему-то важному. Команда смогла отследить адрес до британского сервера, на котором «Славик» держал вебсайты «Бизнес-клуба». Еще больше расследований и немного ордеров привели к русской соцсети, где этот е-мейл был связан с именем Евгения Михайловича Богачева. Сперва казалось, что он не имеет отношения к делу. Понадобилось еще немного усилий, чтобы понять, что это было именем того, кто создал Zeus и «Бизнес-клуб».

Оказалось, что «Славик» — это 30-летний мужчина, который жил жизнью обеспеченного среднего класса в Анапе, русском курортном городе на берегу Черного города. На фото он наслаждался катанием на лодке со своей супругой. У пары оказалась маленькая дочь. На другой фотографии Богачев позирует в пижаме с леопардовым принтом, держа большого кота. Первый набросок Zeus он написал, когда ему было 22.

Но это была не самая громкая находка голландских исследователей. Продолжив анализ, они обнаружили, что кто-то в верхушке GameOver регулярно просматривал десятки тысяч зараженных компьютеров в определенных странах на предмет е-мейл адресов грузинских разведчиков или начальников турецкой полиции или секретных документов правительства Украины. Кем бы он ни был, он также искал секретные материалы, связанные с сирийским конфликтом и торговлей российским оружием. В какой-то момент следователей озарило. «Это же шпионские задания», сказал Санди.

GameOver был не только хитроумной вредоносной программой, это была хитроумная шпионская программа по сбору секретных данных. Насколько могли судить следователи, Богачев был единственным членом «Бизнес-клуба» который знал об этой «фишке» ботнета. Ему удавалось проворачивать целые операции под носом у самых отъявленных банковских грабителей мира. ФБР и Fox-IT не удалось найти доказательств, связывающих Богачева с российским правительством, но, очевидно, кто-то давал «Славику» и его широкой сети зомби-компьютеров специфические поисковые запросы. Богачев оказался оружием русской разведки.

В марте 2014 года следователям даже пришлось наблюдать за тем, как под снежной шапкой ботнета Богачева разразился международный кризис. Недели спустя после Олимпиады в Сочи, русские силы захватили украинский Крым и стали прилагать усилия по дестабилизации восточной границы этого государства. Одновременно с этой кампанией Богачев развернул часть своего ботнета на поиск политической информации на зараженных украинских компьютерах, разыскивая разведданные, которые могли бы помочь русским предвидеть следующие шаги своего соперника.

Команда следователей смогла составить теорию и историю шпионажа Богачева. Очевидная связь с государством помогла объяснить, почему Богачеву удавалось управлять огромной криминальной системой с такой безнаказанностью, а также пролить свет на некоторые этапы в жизни Zeus. Система, которую «Славик» использовал для своих разведывательных поисковых запросов, зародилась в 2010 году, когда он заявил о своем «уходе» и установил эксклюзивный доступ к своему вирусу. Возможно, в том году «Славик» появился на радарах российских спецслужб и в обмен на беспрепятственную возможность совершать преступления — конечно, вне России — государство предъявило ему некие требования. Чтобы выполнять их с максимальной эффективностью и секретностью, «Славик» установил более жесткий контроль над своей криминальной сетью.

Открытие вероятных связей Богачева с разведкой внесло некоторую неловкость — особенно в том, что касалось налаживания сотрудничества с Россией. Теперь, когда следователи вышли на Богачева, ему наконец могли быть предъявлены обвинения в управлении GameOver Zeus. Американские обвинители трудились над получением гражданских ордеров. В течение нескольких месяцев команда усиленно ходила по интернет-провайдерам с просьбами получить доступ к серверам GameOver с тем, чтобы в нужный момент перехватить над ними контроль у «Славика». Тем временем, Департамент госбезопасности, Карнеги Мелон и несколько компаний антивирусного ПО подготовились оказывать помощь пользователям в установке контроля над их инфицированными компьютерами. Еженедельные конференц-звонки соединяли континенты, пока официальные лица координировали свои усилия в США, Британии и других странах.

К весне 2014 года, когда про-российские войска сражались на Украине, американские силы были готовы двинуться на GameOver. Подготовка заняла больше года, в течение которого проводился тщательный реверс-инжиниринг, читались чат-логи преступников, отслеживалось физическое местонахождение серверов сети по всему миру. «К этому моменту, исследователи знали о GameOver Zeus больше, чем его создатель», говорит Эллиотт Петерсон, один из агентов ФБР, ведущих это дело.  Как вспоминает Муларски, команда была готова по всем параметрам: «Мы были готовы законодательно, мы были готовы общественно и мы были готовы технически». Около дюжины вовлеченных людей, более 70 интернет-провайдеров и десяток правоохранительных органов от Канады до Великобритании, от Японии до Италии, были готовы совершить нападение в пятницу, 30 мая.

8. ЛИКВИДАЦИЯ

Неделя, предшествовавшая нападению, была суматошной. Когда Вернер и Стоун-Гросс прибыли в Питтсбург, Петерсон поселил их у себя дома, где дети дивились немецкому акценту Вернера. За ужином с пивом они проводили обзор своей предстоящей атаки. Код Вернера еще не был готов, в оставшееся время он со Стоун-Гроссом спешили, дорабатывая код, остальные члены также завершали свою работу с судами, компаниями, странами и консультантами. Белый дом был проинформирован о плане и ожидал результатов. Но несмотря на усилия, всё, казалось, расползалось по швам.

К примеру, они уже давно знали, что ботнет контролировался GameOver сервером в Канаде. Но затем, за несколько дней до атаки, они обнаружили, что есть второй командный сервер на Украине. Этот факт обескуражил их. «Если вы не были в курсе наличия второго сервера, откуда вам знать, нет ли там и третьего?», говорит Вернер.

В четверг Стоун-Гросс проговаривал с интернет-провайдерами шаги, которые они должны предпринять после начала атаки. В последнюю минуту, один ключевой провайдер отказался от участия, опасаясь гнева «Славика». А в пятницу утром, когда Вернер и Стоун-Гросс приехали на свое рабочее место, они обнаружили, что один из их партнеров по операции, компания McAfee уже опубликовала в своем блоге анонс атаки под названием «Игра окончена для Zeus и Cryptolocker».

После истеричных звонков о том, чтобы пост был удален, атака наконец началась. Канадские и украинские власти выключили командные сервера GameOver. А Вернер и Стоун-Гросс начали редиректить зомби-компьютеры в «водосток», блокируя доступ «Бизнес-клуба» к его системам. Часами атака шла в никуда. Исследователи пытались найти ошибку в своем коде.

К 13 часам, в их «водосток» попали лишь около сотни зараженных компьютеров, настолько малый процент, что им можно пренебречь, настолько вырос этот ботнет, составленный из полумиллиона машин. Толпа официальных лиц стояла позади Вернера и Стоун-Гросса, наблюдая за тем, как два инженера работали над своим кодом. «Мы не давим на вас», произнес тогда Муларски, «но будет круто, если у вас получится».

В конце концов, к вечеру по питтсбургскому времени, трафик в их «водостоке» начал карабкаться вверх. На другом конце мира Богачев вышел в онлайн. Атака прервала его уикенд. Возможно, сперва он недооценил масштаб. «Он вышел попинать шины, он не понимает, что мы сделали», вспоминает Петерсон. Той ночью Богачев снова принял участие в битве, борясь за контроль над своей сетью, тестируя ее, перенаправляя трафик на новые сервера, расшифровывая методы атаки Питтсбурга. «Это была настоящая кибер-схватка, захватывающее зрелище», вспоминает генпрокурор Питтсбурга Дэвид Хиктон.

Команда смогла мониторить каналы общения Богачева без его ведома и вырубить его турецкий прокси-сервер. Затем они наблюдали за тем, как он в отчаянии пытался снова поднять сеть, используя анонимайзер Тор. В конце концов, после часов потерь, «Славик» погрузился в молчание. Питтсбургская команда продолжала работать всю ночь. «Должно быть, он догадался, что это не простая исследовательская атака, а правоохранительная операция».

К ночи воскресенья, спустя почти 60 часов, питтсбургская команда поняла, что выиграла. В понедельник, 2 июня, ФБР и Минюст заявили о ликвидации и выдвинули обвинение Богачеву по 14 пунктам.

В течение последующих недель «Славик» и исследователи периодически сходились в стычках. Однажды «Славик» провел контратаку, когда Вернер и Стоун-Гросс были на конференции в Монреале, но дуэт все равно победил. Удивительно, но и сейчас, два года спустя, ситуация сохраняется: около 5 тысяч компьютеров в мире до сих пор заражены Zeus, а партнеры до сих пор поддерживают «водосток», чтобы заводить туда вредоносный трафик.

Спустя год после атаки, все мошенничества по перехвату банковских счетов прекратились на территории США. Исследователи долгое время полагали, что за банковские кибер-атаки 2012-2014 годов ответственны десятки группировок, но оказалось, что почти все кражи — дело рук маленькой группки профессионалов из «Бизнес-клуба». «Вначале тебе кажется, что они повсюду, а на самом деле, это очень маленькое сообщество и его проще уничтожить, чем кажется», говорит Петерсон.

9. ПОСЛЕСЛОВИЕ

В 2015 году Госдепартамент США объявил награду в 3 миллиона долларов за поимку Богачева, самую высокую награду за киберпреступника в истории. Но он остается на свободе.

Разыскивается ФБР
Разыскивается ФБР

Согласно источникам в разведке США, правительство не подозревает Богачева в участии в русской кампании по влиянию на результаты выборов в США. Наоборот, администрация Обамы включила его в список санкций, чтобы надавить на правительство РФ, в надежде на то, что русские передадут Богачева по дружбе, в знак добрых намерений, поскольку ботнет, делавший его полезным России, больше не функционирует. Или может, кто-то решит, что им не помешает награда в 3 миллиона долларов.

Но неприятная правда такова, что Богачев и другие русские киберпреступники находятся вне пределов досягаемости Америки. Один из важных вопросов, поднятых делом GameOver, заключается в проблеме установления связи Богачева с русской разведкой и полного масштаба его хищений, которые можно только примерно установить в районе 100 миллионов. Эта проблема омрачает поиски аналитиков, расследующих вмешательство в выборный процесс. К счастью, агенты, расследующие взлом DNC, имеют богатый опыт — говорят, над этим работает отдел из Питтсбурга.

Тем временем, отдел Муларски и индустрия кибербезопасности сосредоточилась на новых угрозах. Новаторские криминальные тактики, введенные Богачевым, теперь стали использоваться повсеместно. Распространение программ-шантажистов ведется ускоренными темпами, а сегодняшние ботнеты — особенно Mirai, скомпонованный из «интернета вещей» — еще более опасны, чем создание Богачева.

Никто не знает, где в следующий раз может появиться Богачев. В Питтсбург регулярно поступают наводки, где его найти, но ни одного реального следа не нашлось. Пока.

Текст: Гаррет М. Графф

Подписаться на новые переводы от Лампы: https://telegram.me/lampland