BugTraq.Ru
Русский BugTraq
http://www.bugtraq.ru/library/underground/hunting.html

Операция Flyhock. Охота на русских хакеров
Ariana Eunjung Cha, перевод www.d-free.ru
Опубликовано: dl, 20.08.03 01:37
Перевод цикла статей, опубликованных в Washington Post весной 2003 года

Internet-мечты превращаются в преступления

Они не достанут нас в России

Василий Горшков никогда не считал, что занимается воровством

Родственники и друзья говорят, что Василий хотел создать дот-ком, наподобие Amazon.com, eBay или Yahoo, и вести размеренную и спокойную электронную торговлю.

Весной 2000 года оказалось, что созданная им интернет-компания требует серьезных инвестиций. Это было похоже на сражения с ветряными мельницами. Немного фирм соглашалось хотя бы слышать об интернет, а еще меньше желающих было инвестировать его проект. Еще хуже было то, что местные криминальные авторитеты хотели, чтобы Горшков делился с ними доходами, а взамен предлагали "надежную защиту"

Тогда Горшкову было 24 года. Денег не хватало даже на зарплату его четырех программистов.

Но один из тех программистов, 19-летний Алексей Иванов, после разговора со знакомым юристом сказал, что знает, как заработать немного денег. Горшков мог бы сам предложить "надежную защиту". Онлайновым бизнесменам. За 6000 миль, в США.

Вскоре Иванов и Горшков уже искали уязвимости в сетях американских корпораций. Когда появлялась возможность, они похищали номера кредиток или другую ценную информацию. После чего входили в контакт с администратором вебсервиса и предлагали устранить брешь в защите и вернуть украденные данные. За небольшое вознаграждение

В течение нескольких месяцев банки, е-магазины, поставщики интернет-сервисов, в числе которых Central National Bank of Waco, Nara Bank NAof Los Angeles и интернет-провайдер Speakeasy Inc, стали жертвами хакеров.

Для оплаты их услуг использовалась платежная система PayPal, ворованные кредитки и подставные счета.

Горшков и Иванов - всего лишь два человека из сотен, а может быть тысяч, хакеров которых практически невозможно вычислить, и которые сокрушают киберпространство.

(прим. Мне очень понравилось выражение "сокрушают киберпространство", поэтому фраза звучит несколько коряво. Оригинал выглядит так: Gorshkov and Ivanov are two of the hundreds, perhaps thousands, of virtually untraceable hackers who are overwhelming cyberspace).

Хакеры захватывали базы данных, планы компаний и номера кредиток. Они запускали вирусы, взламывали компьютерные системы, размещали фальшивые заказы на товар и перенаправляли электронную почту на другие адреса.

В течение последних нескольких лет Министерство юстиции США, ФБР, Секретная служба и другие правительственные учреждения активизировали свои усилия, чтобы противостоять киберпреступности. Министр юстиции и генеральный прокурор Джон Эшкрофт сказал, что с начала этого года было поймано 130 киберпреступников, которыми был нанесен суммарный ущерб в размере 176 миллионов доллров. Их жертвами стали 89,000 ни в чем неповинных пользователей.

Чтобы отразить интерактивные атаки, предпринимателям, как ожидается, придется раскошелится на 25 миллиардов долларов в этом году.

Приблизительно 65 процентов от всех интерактивных атак начинается за границей США

Международное право плохо справляется с кибер-криминалом, поскольку никто не представляет, как можно наказать преступников, и как национальные границы должны быть применены к среде, которая является по существу безграничной.

"Мы не думаем относительно ФБР вообще", - сказал Горшков потенциальному деловому партнеру. - "Потому что они не смогут достать нас в России."

Горшков ошибался. События, которые привели к аресту его и Иванова, приоткрывают окно в неуловимый и прибыльный мир компьютерных взломов. Увлечение хакингом, в конечном счете, приводит к зарабатыванию денег.

Их случай необычен только тем, что они были cхвачены.

Челябинск - экологически неблагоприятный город. В 50-х годах в городе располагался завод по производству ядерного оружия. Утечки радиоактивных отходов в реку Урал тщательно скрывались. Во времена Холодной войны местные жители работали на многочисленных военных заводах, у которых не было названий, а были только номера. После краха Советского Союза обнаружилось, что жители не могут работать по своим прежним специальностям.

Горшков и Иванов росли в Челябинске и не знали друг друга, пока не стали взрослыми. Горшкова описывают, как человека с хорошо подвешенным языком. Он окончил Южно-Уральский Государственный университет, факультет машиностроения. В отличие от большинства его друзей-урбанистов предпочитающих черные и серые цвета, Горшков, физически крепкий молодой человек, мог щегольнуть на людях в оранжевой или фиолетовой рубашке.

Жизнь Иванова была более беспокойной. В 16 лет он уже делал долги и жил в маленькой комнате без окон в четырехэтажном доме. Он объяснил это тем, что компьютер шумит и он мешает своей матери, учительнице истории. Иванов недолго изучал компьютеры в Южно-Уральском Государственном университете, и был отчислен.

Компания Горшкова и вебсайт, известный как http://tech.net.ru, была coздана в феврале 2000. Оборудование офиса было его собственным, стулья остались от маркетинговой акции Кока-колы, все было б/у, но его программисты были первоклассны. Первые 40$ за аренду комнаты №502 в помещении Челябинской Текстильной Фабрики были внесены.

За первые несколько месяцев они заключили договоры с двумя компаниями на изготовление вебсайтов. Оплата была невысокая и деньги быстро закончились. Тогда Иванов познакомил его с командой хакеров, именующих себя Expert Group of Protection Against Hackers.

Группа состояла из нескольких дюжин хакеров из Челябинска и других российских городов, включая Москву и Санкт-Петербург, хотя до сих пор неясно, сколько людей было вовлечено. Имелось большое количество хороших программистов по всей стране, но очень немного хорошей работы для них. В Челябинске программист мог бы зарабатывать от 200$ до 300$ в месяц, но задачи были совсем несложные, и многие из них искали другие пути к применению своей квалификации.

Горшков организует интернет-компанию на текстильной фабрике. Оттуда он и его служащие, в конечном счете, взламывают вебсайты в США.

Хакеры обычно работали вдвоем или втроем. Иногда члены знали друг друга только по никам. Некоторые не знали друг друга вообще.

У каждой группы были свои собственные методы сканирования и взлома, но 30% забирала "крыша". Кто именно, выяснить не удалось. "Я не знаю, и я не хочу знать", - сказал один из членов группы.

Внезапно у Горшкова появилось выгодное дело.

Он, Иванов и другой программист, Михаил - 19-летний одноклассник Иванова - были в одной группе. У каждого была своя роль. Горшков был координатор, Иванов хакер. Михаил занимался поиском данных.

Tech.net.ru и их персональные компьютеры были отлично организованы, чтобы делать преступления эффективными. Информация о каждом потерпевшем сохранялась в собственном файле; программы хакинга были помещены в папку, с названием "badstuff" .

Сначала компании-жертвы были выбраны практически наугад. Имя вебсайта могло сильно отличаться от реального названия компании. Это могла бы быть любая e-торговля или компания, главное, чтобы она имела деньги.

Иванов написал программу, которая использовала Google, для поиска по ключевым словам типа "банк", "казино", или "электроника". Затем сеть потенциальных жертв сканировались программой, на предмет нахождения известных уязвимостей.

Группа имела только одно правило относительно выбора жертв: бизнесмены должны быть не из России

Михаил сказал однажды: "Вы можете попасть в тюрьму, и это - в лучшем случае. Скорее всего вас убьют".

В основном для взлома корпоративных вебсайтов использовалась широко известная уязвимость сервера Microsoft NT. Очень часто для доступа достаточно было набрать пароль и логин, заданные по умолчанию.

Их атаки были слишком прямолинейны. Они редко заметали следы. Кевин Мэндиа, эксперт в области кибер-преступлений, сравнил их методы с вооруженным ограблением банка.

"Вы могли бы потратить пять месяцев, чтобы планировать супер-секретную операцию, но если шансы на вашу поимку были минимальными, зачем беспокоиться? " - сказал Кевин Мэндиа.

Первый контакт между хакерами и их потерпевшими обычно осуществлялся через электронную почту, которую посылали руководителю компании или администратору систем. Образец письма Иванов показал юристу, чтобы убедиться, что Российские законы они не нарушают.

Примерный текст письма, написанный на не очень правильном, но вежливом английском:

"Здравствуйте, М-р такой-то. Мы, группа экспертов компьютерной безопасности, специализируемся в области защиты банков, кредитного сервиса и страховых компаний. Наше местоположение в настоящее время находится вне пределов юрисдикции США. Наше правительство и законы лояльны в отношении деятельности такого рода."

Далее шло перечисление IP-адресов компьютеров сети компании, уязвимостей на них и предложения группы по обеспечению безопасности. Обычно письмо заканчивалось зловещим предупреждением: "ВАШ САЙТ НЕБЕЗОПАСЕН!!!. Это только верхушка айсберга. Любой пользователь сети может получить ВСЮ персональную информацию относительно любой учетной записи".

Как позже отмечено в документах суда, Иванов пользовался электронной почтой и IP-телефоном по чужой кредитке. Использовав спутниковый канал, он неторопливо говорил с потерпевшими.

Иванов вел себя очень солидно, иногда даже отправлял свое резюме, иной раз вместе с фото, чтобы показать насколько он серьезный консультант по компьютерной безопасности. В документах был его домашний номер телефона и детальное описание предшествующего опыта.

Хакеры просили очень немного, несколько сотен долларов, если это была небогатая компания, или несколько сотен тысяч долларов от корпораций, которые выглядели респектабельно.

В интервью Михаил утверждал, что его группа сделала 500 000$ за 9 месяцев. Деньги переводились на расчетные счета в России, Румынии и на Кипре. В суде удалось доказать причастность к вымогательству только на сумму 10 000$.

Неясно, сколько из десятков тысяч захваченных номеров кредитных карт использовали Горшков и Иванов. "Группа экспертов" торговала кредитками между собой и другими членами группы. Сейчас почти невозможно доказать, кто и в каких количествах использовал ворованные кредитные карточки. В ходе выборочной проверки в США было установлено, что через tech.net.ru прошло почти 1,300 номеров кредитных карт, которые использовались для закупки товаров в Канаде, Франции, Гватемале, Израиле и многих других странах.

Разные жертвы реагировали на действия хакеров по-разному. Некоторые проклинали их, некоторые относились снисходительно.

Компания Speakeasy, начинавшая как итнернет-кафе и в дальшейшем расширившаяся до предложения услуг интернет-доступа для домашних пользователей и бизнесменов, оказалась среди самых "проблемных". Компания отказалась платить даже после того, как Иванов угрожал стереть файлы и выложить информацию о пользователях на вебсайте. В интерактивной беседе Макс Чандлер, системный администратор Speakeasy, заявил Иванову, что хакинг - это незаконное деяние и будет преследоваться в судебном порядке.

Иванов был непреклонен и отреагировал так: "Вы не сможете посадить меня в тюрьму, потому что законы в моей стране не работают, и моя страна не имеет серьезной правовой базы касающейся компьютерных преступлений".

Позже в разговоре, однако, Иванов казался почти искренним, поскольку он спросил у Чандлера относительно своей карьеры

Иванов: Я нуждаюсь в работе только, потому что я нуждаюсь в деньгах. Понятно?

Иванов: В каких компаниях у Вас есть друзья?

Чандлер: Microsoft конечно:Amazon.com . . .

Иванов: Крутые компании. Я покупал много книг, СD и DVD на Amazon.com. Макс, возможно получить работу в Amazon или Microsoft ?

Чандлер: Уверен. Они нанимают постоянно.

Иванов: Я имею в виду для меня...

Чандлер: Хорошо, Вы должны послать им резюме, а я замолвлю за вас словечко.

Иванов: Ок. Пожалуйста, сделайте это.

Некоторые компании рассматривали вымогательство, как деловые расходы. Когда Брайан Миллер, системный администратор интернет-провайдера Channel 1 Communications получил письмо от Иванова относительно брешей в защите компьютерной системы, то предпочел заплатить Иванову и его группе, вместо того, чтобы пытаться бороться с ним. Он перевел 250$ на счет Иванова и поблагодарил его за помощь.

"Я сочувствовал ему", - cказал Миллер, - "Он был похож на наивного ребенка, который хочет получить немного денег и уехать из своей страны. Я думал, что тогда он перестанет заниматься такими вещами".

Горшков тем временем искренне верил, что сможет вести законный бизнес у себя на родине. Он платил своим программистам 150$ в месяц, чтобы продолжать проекты, и надеялся, что изменит цели, для которых русские использовали Интернет, таким же образом как дот-комы Кремниевой Долины изменили американскую культуру. Один человек работал над более устойчивой системой фильтрации электронной почты, другой разрабатывал движок для вебсайта, третий составлял программу интернет- аукциона.

Двое из программистов Горшкова, Максим Семенов и Денис Букаров, не занимались вымогательством. Они работали в компании из-за своих амбиций. Их босс считал, что они должны тратить свои усилия и время на разработку новых технологий.

"Это - проблема найти интересную работу подобную той, которая у меня была в tech.net.ru", - сказал Букаров.

Михаил сказал, что хакеры чувствовали себя неуязвимыми, и в какой-то мере, это так и было. Он описывал ночи, когда они оставались втроем и пили водку и пели песни.(Прим. drinking vodka and singing songs :)

Иванов любил песни из старых кинофильмов и шансон. Он запевал, и к нему присоединялись Горшков и Михаил.

Чем лучше было их настроение, тем более великодушно они относились к потенциальным потерпевшим.

Однажды они связались с девушкой, системным администратором интернет-провайдера Сингапура, располагающимся в США. Михаил сказал, что он разрушит ее систему, если она не заплатит. Девушка разговаривала так трогательно, что им стало не по себе. Тогда Михаил попросил ее позвонить по телефону и спеть "Happy Birthday". Она позвонила и спела, и Михаил обещал оставить ее в покое и больше не вымогать с нее деньги.

Никто не знал, что группа делала со своими деньгами. Близкие и друзья не замечали небольших изменений в их образе жизни. Они не давали роскошных обедов и не покупали дорогую одежду. Иванов носил старые джинсы и потрепанные ботинки. Курил дешевые сигареты.

Тем не менее, Иванов купил подержанный автомобиль за 1000$ и мобильный телефон.

Горшков получил квартиру для себя и своей невесты, Маши Милеговой, которая к этому времени была беременна их первым ребенком. Он встречал ее по вечерам и они ехали домой на троллейбусе.

Хакеры также использовали номера кредитных карточек, которые они присвоили от компаний, которые отказались им платить. Однажды они заказали 15 DVD-плееров и выписали их доставку в почтовое отделение на территории Казахстана, что находится в часе езды от Челябинска. Также они заказывали CD, фильмы, нотбуки, мобильные телефоны и другую электронику. Они выставляли кредитные карточки PayPal на интернет-аукционах. (Должностные лица PayPal сообщили, что предприняли меры, дабы исключить возможность повторения подобных явлений.)

Позже, в ноябре 2000, поведение Горшкова все же навлекло на размышление некоторых его друзей. Однажды они пили пиво и смотрели фильм "Угнать за 60 секунд" про изобретательных воров, которые могли вскрыть любую автомобильную сигнализацию и безнаказанно скрыться.

Одна из подруг Горшкова, Евгения Пелескова, заметила, что фильм пользуется исключительной популярностью у собравшейся компании.

Но в то время, пока Горшков и Иванов посмеивались, их уже разыскивали в США. Хакеры думали, что компании сотрудничали с ними, хотя на самом деле компании фактически работали на ФБР.

Заманчивое предложение для русской команды

ФБР ставит ловушку

Кошмар Йона Моргенштерна начался с получения электронной почты. 15 июля 2000 года он нашел в своем почтовом ящике письмо примерно следующего содержания: "Ваша система защиты под угрозой. Мы хотели бы помочь вам".

Моргенштерн, президент компании E-Money Inc., расположенной в Вашингтоне, занимающейся интерактивными расчетами, почувствовал неладное. Это была явная угроза.

Его опасения подтвердились на следующий день, когда молодой голос спросил по телефону, получил ли он электронную почту. Человек назвался Алексом и сказал, что он из России и представляет нечто под названием "Expert Group of Protection Against Hackers". Он сказал, что он получил доступ к базе данных номеров кредитных карт заказчиков компании и будет счастлив прекратить дальнейшие вторжения в систему, если ему заплатят 500 000$

В качестве доказательства взлома компьютеров E-Money Inc, Алекс попросил, чтобы Моргенштерн зашел на один из его серверов и нашел там системный файл, содержащий некоторые доказательства его пребывания в системе. Моргенштерн легко нашел этот файл. В нем было написано "Здесь был Алекс".

Так началась серия трансатлантических телефоных и онлайновых переговоров, посвященных обсуждению путей разрешения ситуации. В этом постоянном взаимодействии между Моргенштерном и его взломщиками установились своего рода доверительные отношения, которые в конечном итоге привели к аресту двух членов "Группы экспертов" и позволили американским властям получить более глубокое представление о хакерских группах, и по сей день атакующих американских бизнесменов извне.

Действия хакеров в течении нескольких предыдущих лет достигли критического уровня. По данным корпорации Symantec, специализирующейся на компьютерной защите, средняя компания в США подвергается нападениям примерно 30 раз в неделю. Большая часть этих атак являлась простым сканированием на наличие уязвимостей, однако 15% фактически являются успешными проникновениями.

Моргенштерна, тем временем, охватывали противоречивые чувства. С одной стороны, он не хотел платить вымогателям, а с другой он определенно не желал позволить хакерам разрушить репутацию его компании. Он опасался, что сведения о даже незначительной утечка конфиденциальной информации распугает его клиентов. В конце концов, E-Money Inc - компания, основанная на доверии.

Моргенштерн нанял дорогого консультанта по компьютерной безопасности из Кремниевой Долины, и приказал своим системным администраторам провести полный анализ системы E-Money на наличие других уязвимостей. Моргенштерн потратил более 1 миллиона долларов на оплату консультантов и закупку нового оборудования.

Тем временем, Моргенштерн пробовал вести переговоры с хакерами. Требования 500 000 $ за "помощь по восстановлению системы" снизились до 250 000$, потом до 150 000$, и наконец до 75 000$. Но когда он все-таки не заплатил, по словам Моргеншетрна, хакеры запустили новый тип атаки, приступив к бомбардировке системы, загрузив ее паразитным трафиком, резко замедлив его сеть так, что нормальная работа стала практически невозможной.

Тогда Моргенштерн обратился в ФБР

Для агентов ФБР это была знакомая история. ФБР в течении многих месяцев отслеживало деятельность тех организованных хакерских групп из России, Украины и других стран, которые пробовали вымогать деньги у администраторов вебсайтов. В частности стала появляться информация о "Группе экспертов". "Количество потерпевших и их потерь заставило нас принять это дело без всяких доказательств", - вспоминает Чарли Мандиго, агент ФБР, который был одним из старших следователей по делам о вымогательстве. Проблема становилась столь серьезной, что ФБР собиралось распространить специальное предупреждение по поводу этой бешеной активности, которая затрагивала уже более 1 миллиона номеров кредитных карт. Агентство умоляло фирмы улучшить защиту их систем.

Один из сотрудников ФБР Дон Кавендер, работавший с делом, рассказал, что размах атак заставил их привлечь более квалифицированных специалистов по борьбе с кибер-преступностью. Отчасти как реакция на этот случай, штат агентов отдела по борьбе с кибер-преступностью удвоился и возрос до 700 человек. Еще 200 человек наняла Секретная Служба.

Местное отделение ФБР прислало двух агентов на помощь Моргенштерну. Они привезли и установили в офисе E-Money's оборудование таким образом, чтобы Моргенштерн мог бы записывать все его переговоры с Алексом и его другом, который назызвал себя Виктором или Владимиром. Несколько недель агенты находились рядом с Моргенштерном на работе и дома. Они подключались во время переговоров и пили одну диет-пепси за другой.

Они советовали ему сохранять записи переговоров и вытянуть как можно больше информации, касающейся этих парней.

Моргенштерн сказал, что говорил с хакерами не реже четырех раз в неделю, иногда даже чаще. Обычно звонили Алекс или Виктор, утверждая, что звонят через захваченный ими спутниковый канал.

Каждый раз переговоры шли следующим образом: Алекс предлагал понизить цену за "защиту", а Моргенштерн находил все новые оправдания, почему он не может заплатить.

В моем совете директоров сидят суровые парни, которые хотят встретиться с вами для заключения с вами долгосрочного контракта" - говорил Моргенштерн (у E-Money, в которой работало 15 человек, не было совета директоров). "Вы нужны нам в Соединенных Штатах. Мы могли бы встретится в более нейтральном месте - Финляндия? Дания?" (Он надеялся, что спецслужбы этих стран будут более сговорчивы и разрешат властям США арестовать хакеров).

Шли дни и тон переговоров от резкого и высокомерного становился все более спокойным и доброжелательным. Иногда хакеры звонили Моргенштерну домой. Моргенштерн сказал, что его маленький сын настолько привык к частым и многочасовым разговорам, что еще долго будет подбегать и кричать: "Папа, это снова звонит Алекс!"

Моргенштерн рассказывал им о жизни в США, а они, в свою очередь, о жизни в России.

Алекс рассказал, что после окончания школы он не мог устроиться на работу, и что у него не хватало денег на покупку еды и одежды. Виктор сказал, что он старше и что у него есть жена и ребенок. Их личные качества были очевидны в выборе адресов е-майл. Алекс был "megapunk", а Виктор использовал более общее имя "accessd".

Алекс, похоже, был доволен своим положением. Однажды он высказался, что мог бы "жить здесь как король" на деньги, которые он делал на американских корпорациях. Но Виктор, казалось, был более обеспокоен.

" Вы не понимаете, как интенсивно я работаю. Я работаю по 72 часа подряд, и мне нужно заботиться о моих программистах. Мы работаем все больше.... Йон, Вы думаете, что мне нравится зарабатывать на жизнь таким образом?"

Алекс и Виктор описывали, что "ребята в кожаных куртках" с "большими пистолетами" заставляли работать их на преступные группировки, и предполагалось, что они будут получать 50 центов с каждого украденного номера кредитной карточки, но часто они не получали даже этого.

Однажды Виктор сказал Моргенштерну такое, от чего тот чуть не упал. Он попросил его забыть про деньги. Он просто просил о визе и работе в США.

"Пожалуйста, найдите для меня работу в Америке" - вспоминает Моргенштерн слова Виктора. "Я исправлю вашу систему, на вас никто не будет нападать. Я должен содержать свою жену и маленького ребенка".

Виктор подтвердил свои намерения по е-майл через несколько дней, 15 сентября: "Я принял решение. Я приеду в США и встречусь с Вами при первой возможности. Я устал скрываться. Я рискну. Я думаю, что я могу доверять Вам.... Я хочу получить работу, чтобы забыть свое преступное прошлое."

Моргенштерн, как юрист, сочувствовал их незавидному положению. Он предложил выступить как посредник между ними и агентами ФБР, и добиваться иммунитета от преследования со стороны ФБР, если они вдвоем прибудут в Штаты и найдут честную работу. Моргенштерн сказал им, что будет разговаривать с агентами ФБР относительно такой возможности.

Атаки неожиданно прекратились и Моргенштерн больше никогда не получал от них известий.

Летом 2000, до того как система Моргенштерна была взломана, Содиненные Штаты рассматривали "Группу экспертов", как серьезную угрозу финансовым сетям страны. Люди, называющие себя членами группы, взяли на себя ответственность за наиболее критические из атак на Western Union, PayPal и серию региональных банков. Следователей волновало то, что вымогательство только часть преступной деятельности, которую могла вести группа. Они опасались, что хакеры имели доступ к другим сетям, и что они пытались создать производство фальшивых кредитных карт. Атаки, казалось, были скоординированы кем-то, кем-то кто знал намного больше, чем средний хакер относительно отмывания денег, кем-то, кто мог обращать номера кредитных карт в товар, затем продавать товар и получать наличные.

"Мы заметили одну возмутительную тенденцию - сотрудничество между русскими хакерами и традиционной организованной преступностью" - сказал прокурор из Коннектикута Шон Чен, который работал над этим делом.

Более дюжины следователей, агентов ФБР из Коннектикута, Вашингтона, Калифорнии и Нью-Джерси устроили "мозговой штурм" по проблеме хакеров.

В течение нескольких месяцев эта команда разрабатывала методы, позволяющие арестовать русских хакеров. Они подозревали, что по крайней мере некоторые взломы совершались неким Алексеем Ивановым. Он был настолько уверен в себе, что разослал свое резюме с фотографией тем компаниям, у которых вымогал деньги. В то время, как фэбээровцы расследовали инцидент с CTS Network Services из Сиетла, "нанявшей" Иванова, как консультанта, на одном из счетов хакера обнаружилось 38,000 номеров кредитных карт из базы данных E-Money.

Министерство юстиции США через дипломатические каналы послало запрос на задержание Иванова. Не последовало никакой реакции. Был послан второй запрос, снова Российские власти никак не отреагировали.

У США не было никакой возможности схватить Иванова на территории России, поэтому они должны были найти способ, чтобы арестовать его на своей территории. Выбор пал на Стефана Шредера, ведущего специалиста в делах подобного рода.

"У нас нет договора с Россией о выдаче преступников, поэтому, до тех пор пока они не обнаружены за пределами России, наши возможности крайне ограничены" - сказал недавно вышедший в отставку Шредер.

Несколькими годами раньше, Соединенные Штаты взяли на себя инициативу сотрудничества с другими развитыми промышленными странами в области кибер-преступности. Это привело к созданию договора со странами большой восьмерки о совместном использовании информации и сохранении интернет-провайдерами информации о взломах. Власти США также отправляют следователей и агентов в другие страны для консультаций и обцчения. Кроме того США вынуждают другие страны принимать законы, признающие нелегальность хакинга.

Но в конце концов это - индивидуальное дело каждой страны, решить для себя, хотят ли они помочь или нет.

Заявления Моргенштерна для русских программистов о возможности деловых контактов - всего лишь один из способов, применяемых в закулисной работе ФБР, чтобы получить хакеров в том месте, где их можно было бы арестовать. Переговоры Моргенштерна, как и других потерпевших, давали ключевую информацию о иерархии группы и личных качествах подозреваемых, позволяя правительству США найти такое предложение, от которого Иванов не смог бы отказаться.

Таким предложением стала потенциальная работа в фиктивной компании Invita Technologies. Invita "подыскивала" для партнерства компанию, занимающейся безопасностью, для оказания консультационных услуг американским фирмам. Будущие работодатели сообщили Иванову, что слышали весьма лестные отзывы о нем и рассматривают его как потенциального кандидата. Для собеседования он должен был приехать в Сиэтл.

Такая перспектива казалась Иванову просто волшебной. Наконец кто-то оценил его способности и предложил переехать в Америку.

Иванов вошел в контакт с Invita и спросил, не мог ли он также пригласить на собеседование своего "делового партнера", Василия Горшкова, чье имя сотрудники ФБР раньше не слышали. Компания дала положительный ответ. Invita оплачивала проезд Иванова до Сиэтла, но Горшков должен был платить за поездку самостоятельно. Горшков с удовольствием расстался с деньгами.

Сергей Горшков, старший брат Василия, вспоминает, что Василий не переставал улыбаться с тех пор, как получил это сообщение. "Это было похоже на его сбывшийся сон" - сказал Сергей в своем последнем интервью.

Представитель "компании" встретил хакеров в аэропорту Сиэтла в ноябре 2000. Он привез их административное здание, где хакеров попросили показать свою квалификацию.

ФБР вело скрытую съемку встречи. Черно-белая запись показывает двоих молодых людей, в непривычной для Сиэтла теплой одежде, в которой они прилетели из Челябинска. Служащие компании суетятся вокруг них в комнате размером 8х20 футов, спрашивают не хотят ли они воды или чего-нибудь еще. Они рассуждают о погоде и ценах на сигареты. Потом начинается серьезный разговор.

Горшков начинает грузить агентов ФБР, что они опытные хакеры. Он описывает их прошлые подвиги. Иванов тем временем, набирает что-то на клавиатуре своего нотбука, потом по клавиатуре компьютера "компании", очевидно анализируя защиту вебсайтов под звуки поп-музыки.

Тайный агент ФБР спрашивает: "Как часто Вы взламывали компьютерные системы и Вы когда-либо находили номера кредитных карточек? "

Горшков избегает вопроса. Он хихикает, затем говорит: " Об этих вещах лучше говорить в России".

Но поскольку разговор тянется в течение часа или около того, он становится более уверенным в себе.

Горшков: " Мы не думаем относительно ФБР вообще. Потому что они не могут добраться до нас в России. "

ФБР: "Правильно".

Горшков: " Ваши парни не могут работать в России."

Без ведома Горшкова и Иванова агенты установили кейлоггер на компьютеры "компании", который фиксировал любые нажатия клавиш, когда они обращались к tech.net.ru. Это позволило федеральным агентам узнать пароли хакеров.

Около пяти часов вечера должностные лица "компании" предлагают отвезти Горшкова и Иванова на квартиру, которая была для них арендована. После непродолжительной поездки дверь автомобиля открылась и кто-то закричал: "Это ФБР. Выходите из машины! Выходите из машины и держите ваши руки за спиной".

Несколькими часами позже все было кончено. Иванов и Горшков находились в тюрьме. Компьютерные специалисты из ФБР, тем временем, загружали информацию из компьютеров хакеров и с tech.net.ru. В конечном итоге было загружено 2,700 мB данных - взламывающие программы, свидетельства о вымогательстве, номера кредитных карт - все, что могло помочь в расследовании этого дела.

Моргенштерн не слышал об аресте до начала 2001 года. К этому времени он продал свое дело за круглую сумму конкуренты. Он не был уверен в том, действительно ли Горшков и Иванов были теми людьми, с которыми он говорил по телефону, но он знал, что так или иначе они были связаны, поскольку и те и другие входили в "Группу экспертов". Он испытывал смешенные чувства. С одной стороны он был возмущен действиями тех парней, которые поставили его бизнес в столь опасное положение, а с другой он понимал, что возможно у них не было выбора.

"Это не их вина, что они живут в таком месте, где не могут найти применения своим способностям", - сказал Моргенштерн.

Горшков заявил о своей невиновности, но был признан виновным в сговоре, компьютерном мошеничестве, взломе и вымогательстве. Прошлой осенью он был приговорен к 3 годам тюрьмы и выплате 700,000 $ штрафа. Иванов признался во взломе 16 компаний, в том числе и E-Money, в участии в схеме обмана PayPal, используя украденные номера кредитных карт. Вероятно, он будет приговорен этим летом, ему грозит до 20 лет заключения и штраф в 250.000$.

Операция, проведенная ФБР, описана как пример изобретательности американской правовой системы. Агенты Марти Прюитт и Майкл Шулер.

Но есть еще небольшая проблема.

На допросах в течение года Иванов подтверждал, что это он взломал E-Money, но это не он называл себя Алексом, а Горшков не был Виктором. Кто-то еще говорил по телефону с Моргенштерном, и этот кто-то был до сих пор в России.

Несмотря на усилия США, количество преступлений в сети увеличивается

Те, кто ускользнули

В родном городе Михаил - уважаемый программист, в Соединенных Штатах он востребованный человек.

Два с половиной года назад, его прежний босс Василий Горшков и его коллега Алексей Иванов были арестованы в США за хакинг и вымогательство денег у американских бизнесменов. Михаил говорил, что участвовал в их незаконных действиях.

Вскоре после того, как его сослуживцы были арестованы, агентами ФБР был установлен круг знакомых подозреваемых, выяснилось, что Михаил тоже мог быть причастен к хакингу. Агенты послали ему письмо с сообщением о том, что Горшков и Иванов были задержаны. Михаил ответил, что этот обман его друзей и арест только развяжет войну:

"Мы будем заниматься взломами также как и раньше. Если вы попробуете остановить нас, мы будем делать то же самое, но еще больше. Лучше оставьте нас в покое".

Человек из ФБР, как сказал Михаил, извинился и больше не вступал с ним в контакт.

Сейчас Михаилу 21 год, он ведет такой же образ жизни, как и раньше. Он живет в центре города, в квартире купленной на деньги, полученные от американских бизнесменов в то время, когда он участвовал в схеме махинаций Горшкова и Иванова. Пока его друзья сидят в тюрьме, Михаил успел приобрести автомобиль Honda Prelude. Он сказал, что в свободное время продолжает взламывать базы данных компаний, но не чаще одного раза в неделю. Его недавняя жертва - корпоративный вебсайт компании, занимающейся компьютерными чипами, среднего размера интернет-провайдер и правительственное агентство Уругвая.

Невозможно установить, какое количество хакеров, которые ответвенны за тот хаос, который теперь, кажется, регулярно обрушивается на интернет, остаются на свободе. Они мгновенно перемещаются по сети из страны в страну, невозможно выяснить кто они и откуда. Статистические данные говорят об огромной разнице между количеством хакерских атак и количеством лиц, привлеченных к ответственности за эти атаки. 2002 году Федеральный центр по обмену информацией CERT зарегистрировал более 80 000 незаконных подключений, вирусных и других атак. В 2001 году эта цифра составляла 50 000. Тем временем правоохранительным органам США удавалось привлекать к ответственности лишь несколько сотен виновных в год.

Во время следствия Иванов указал на Михаила и еще на шестерых членов группы, как на участников преступного сговора. Данные показаний пока засекречены и находится в окружном суде в Коннектикуте. Юристы Министерства юстиции в Вашингтоне и Коннектикуте отказались это комментировать, поскольку следствие все еще продолжается. В обмен на сотрудничество Иванова его мать, сестра и подруга Лена были вызваны в США, поскольку он опасался за их жизнь.

Горшков был признан виновным в организации преступного сговора, чтобы вымогать деньги у трех компаний; он мог бы быть освобожден из тюрьмы уже в этом году. Иванов признан виновным во взломе 16 компаний, вымогательстве и электронном мошенничестве; он ожидает приговора. Но имеются буквально сотни других потерпевших, которые испытали аналогичные атаки, и значительное количество тех, кто мог сказать, что нападавшими были люди из "Expert Group of Protection Against Hackers." Хакеры взламывали системы и предлагали устранить возможность проникновения, если компании заплатят или наймут их как консультантов по защите.

Иванов отказался давать интервью для серии этих статей. Но он сказал следователям, что был участником двух хакерских групп - одна с участием Горшкова и Михаила, вторая с другими людьми. Именно та, вторая группа взломала E-Money Inc., и нанесла гораздо больший ущерб.

Действительно, в то время, когда обвинители охарактеризовали Горшкова как главаря "Expert Group ", Иванов опроверг их обвинения.

Адвокат Горшкова Джон Лундинn, просмотрев показания Иванова, отметил, что Горшков участвовал в немногих преступлениях

"Иванов занимался компьютерным крэкингом задолго до его знакомства с Горшковым", - сказал Джон Лундин.

В своих сообщениях из тюрьмы Горшков писал, что он не был виновен в некоторых преступлениях, за которые его осудили. "После того, как меня арестовали и закрыли мою компанию, те дела, которыми я занимался, не прекратились. Кто бы это ни был, он продолжал это делать" - писал Горшков.

Отделу по борьбе с кибер-преступлениями ФБР в сотрудничестве с отделом финансовых преступлений Секретной Службы удалось собрать много материала о деятельности "Expert Group ", включая реальные имена, адреса и номера телефонов предполагаемых участников.

Но в то время, когда представители США хотели бы более энергичных действий, чтобы уничтожить этот хакерский клуб, власти России еще не раз отвечали упорным молчанием на запросы. Та уловка, с помощью которой должностным лицам США удалось получить Горшкова и Иванова, едва ли сработает еще раз.

"У некоторых нарушителей имеется возможность безнаказанно совершать свои действия на безграничном пространстве интернет" - подтвердил Игорь Лукашев, бывший член парламента России.

Хакинг незаконен как в России, так и в США; разница только в применяемых мерах наказания. В России иногда отсутствие прописки в паспорте, расценивается как более тяжкое преступление. Расследования затруднены, поскольку уголовные преступления имеют более высокие приоритеты.

Хакеры располагают многочисленными средствами, чтобы оставаться в безопасной зоне. В таком связанном мире, как интернет имеется достаточно таких зон безопасности, чтобы нанести ущерб любой стране

Дмитрий Чепчугов, руководитель отдела милиции по борьбе с высокотехнологичными преступлениеями и участник подкомиссии по киберпреступности большой восьмерки сказал, что оба правительства признают на самых высоких уровнях, что необходимо более тесное сотрудничество в этой области. Хотя это не всегда работает на практике.

Это особенно важно, поскольку самых больших разногласий между США и Россией, вызванных обоюдным шпионажем, больше не существует.

"Сейчас преступления в наших странах легли на коммерческую основу" - сказал Чепчугов.

Что усложнило Американо-российские отношения, - то, что две страны имеют разногласия, в том какие методы применялись при разработке дела Горшкова-Иванова. Чтобы собрать доказательства ФБР тайно фиксировало пароли и затем использовало информацию, чтобы подключиться к их компьютерам через интернет из Соединенных Штатов. ФБР говорит, что это делалось в соответствии с законами США. Но Русская Федеральная Служба безопасности (FSB), наследник КГБ, предъявила обвинение ФБР в незаконном проникновении в чужие компьютеры

ФСБ завело дело, чтобы выяснить, нарушал ли агент ФБР Майкл Шулер российское законодательство, обращаясь к компьютерам Горшкова на tech.net.ru. Представитель ФСБ Станислав Нежинский, сказал, что экспертиза компьютерной системы Горшкова показала, что "имело место уничтожение части файлов, содержащих коммерческую информацию". Русские предъявляют обвинение американцам в том, что в результате вторжения и порчи файлов компания Горшкова, возможно, потеряет деловые контакты.

Представители ФСБ заявили, что Министерство юстиции США не реагировало на просьбы о помощи в расследовании. Чарли Мандиго, агент регионального отдела ФБР в Сиэтле, отстаивает свою точку зрения относительно проникновения на tech.net.ru. Следователи пользовались решением суда и судья признал действия юридически законными в отношении Горшкова.

Но, как сказал Чарли Мандиго - " - не эксперт в русских законах и я не собираюсь интерпретировать их законы, может ли там или не может быть что-то сделано неправильно".

Родственники, друзья и многие другие люди выражают свое недовольство ведением судебного разбирательства США против хакеров; Горшкову не был предоставлен переводчик; должностные лица США не известили правительство России, в результате чего родственники подсудимых несколько месяцев ничего не знали о них; правительство США слишком медленно анализировало компьютеры хакеров, а следователи ошибались, приняв файлы с длинными числовыми именами за номера кредитных карточек.

Американцы, однако, возражают, что Горшков говорит по-английски достаточно хорошо, чтобы не нуждаться в услугах переводчика, и что они посылали факсы русскому правительству по поводу этого ареста. Агенты признают, что, возможно, они были сбиты с толку некоторыми файлами на tech.net.ru.

В своем бывшем военно-промышленном городе Горшков и Иванов стали чем-то вроде народных героев. Многие люди поддерживают их, считая, что то, что они делали, если и не совершенно законно, но находится на грани. То, что это является незаконным в США, многие расценивают как агрессивный маркетинг. В феврале кто-то взломал веб-сайт американского университета, разместив там сообщение "Свободу Василию Горшкову".

"Меня не волнует, что они добыли из компьютеров ребят. Это не является доказательством их преступной деятельности. Возможно, они собирали данные для исследования" - сказала Галина Иванова, директор информационной службы Урал-пресс информ.

Лев Kaзаринов, декан Южно-Уральского Государственного университета, в котором учились Горшков и Иванов, гордился тем, что его студенты смогли проявить такие "компьютерные чудеса". Он сказал, что хотя Горшков и Иванов знали, что хакинг незаконное занятие, это нисколько не оправдывает того наказания, которое они получили.

"Несомненно, американское правительство погорячилось" - сказал Kaзаринов.

Адвокат Иванова сказал, что возможно, парни были пойманы на том, что можно рассматривать как недоразумение. Иванов получил свою первую работу, после того, как взломал провайдера интернет и показал результаты своего подвига директору по безопасности Виктору Величко. "Из-за культурных различий в методах, предложения своих услуг натолкнулись на более серьезное противодействие, чем то, которое ожидалось" - рассуждал Морган Пол Рюкерт.

Возможно, что Горшков и Иванов освободятся из тюрьмы уже в этом году. Иванов, несмотря на то, что должен быть осужден, все же пытается вести переговоры о сотрудничестве. Срок наказания Горшкова почти закончился.

Вскоре после ареста, который оказался для него серьезным ударом, Иванов настолько обезумел, что объявил голодовку. Потом он страшно обрадовался, что правительство разрешило его семье находиться рядом с ним, в Соединенных Штатах. Этой весной он по собственной инициативе написал извинения потерпевшим.

28 апреля этого года Иванов написал Майклу Эпгару, шефу компании Speakeasy, детально изложил свои способы проникновения в систему и выразил раскаяние, что вымогал у него деньги.

"Я обещаю, что после моего выхода из тюрьмы начну упорно трудиться, чтобы компенсировать убытки, вызванные моим преступным поведением" - писал Иванов. Он предложил свои технические услуги - на этот раз бесплатно.

Горшков, к его чести, преуспел в тюрьме. Он выиграл тюремный чемпионат по шахматам. Чтобы скоротать время он преподавал другим заключенным математику и русский язык, чем заслужил похвалы надзирателей и сокамерников. Он тратит те небольшие деньги, которые ему удается заработать на телефонные разговоры со своей женой Машей и двухлетней дочерью Анастасией, которую он никогда не видел.

Горшков, вероятно, после окончания срока заключения возвратится домой. Он не знает, на какие средства ему содержать свою семью.

"Я не знаю, ждет ли меня еще какая-то работа, но все будет хорошо" - писал он в одном из своих писем.

Когда в начале 2001 года появились сведения об аресте Горшкова и Иванова в Соединенных Штатах, хакеры ушли в подполье. Они перестали использовать старые псевдонимы и начали использовать новые. Suidroot, Eliga, XTZ, Skylack, Kotenok и другие имена, которые обнаруживались в криминальных сводках, вдруг исчезли из интернет. Некоторые из хакеров сказали, что они стали более осторожны в использовании связи с другими странами, чтобы скрыть свое местонахождение

Но суть и методы "Expert Group" изменились незначительно.

Один из двадцати членов группы, назвавшийся Андреем, сказал, что покупки на 10-15$ по ворованным кредитным картам Visa и MasterCard, которые трудно отследить, всего лишь небольшая тренировка для хакеров.

"Здесь (в России) трудно жить на одну зарплату" - сказал он и просил не называть его фамилию.

А как же те пять человек, названных Ивановым, как лица вступившие в сговор с целью вымогательства? Один уехал в Белоруссию, другого он знал только по нику, еще двое отказались говорить. Последний, Владимир, отрицает свою причастность. Владимиру 21 год, это высокий блондин с хорошими манерами. Он работает в отделе сбыта металлопрокатного завода. Он сказал, что хотя и является другом Иванова, но ничего не знает о вымогательстве.

Владимир сказал, что он помог Иванову найти юриста. Юрист просматривал письма Иванова, которые тот посылал компаниям, чьи системы они взламывали. Владимир не верит, что это незаконно. Он также просил не называть его фамилию.

"Он предлагал помочь компаниям. Это не является предосудительным " - сказал Владимир.

Власти США, однако, считают что, возможно, Владимир и был главным координатором хакеров в этом городе. Иванов подтвердил, что Владимир был хорошо осведомлен о взломах компьютерных систем и вымогательстве у 11 компаний в четырех странах.

"Я был приглашен в одну из групп, с которой контактировал Владимир. Целью этого визита было обсуждение незаконных действий по взлому компьютерных систем, получению номеров кредитных карт и обналичиванию денег " - сказал Иванов в одном из своих интервью.

Что же касается Михаила, то Иванов сказал, что это один из тех людей, которые научили его заниматься хакингом. Михаил высокий темноволосый молодой человек, допускает, что он участвовал в некоторых из тех дел, за которые Горшков и Иванов были наказаны, но его участие, главным образом, сводилось к поиску ценной информации на уже взломанных системах. Он сказал, что другие взламывали системы и другие люди вымогали деньги у компаний.

Михаил сказал, что он теперь редко занимается хакингом и вымогательством, теперь он перешел на новую схему: поиск персональной или частной информации и продажа ее через интернет. Это более безопасно и иногда более прибыльно. Свежий прайс-лист: от 15 000$ за продажу е-майл адресов клиентов юридической фирмы его же собственным владельцам до 75 000$ за стратегические планы компании.

"Я не делаю чего-нибудь, что незаконно в Российской Федерации", - пожимал плечами Михаил, - "меня не волнует, что предпримут американцы после этого"

Анонимность в этом деле все упрощает. Он сказал, что никогда не мог бы представить, что нападает на старуху, чтобы отобрать ее кошелек или грабит дома, но не испытывает отвращения, если крадет чужие номера кредитных карточек.

Его мать, бухгалтер, знает о том, что Михаил хакер, знала об этом и его бывшая жена. Его вторая жена, с которой он живет только несколько месяцев, ничего не знает, и не будет знать о его делах.

"В этом сообществе не принято задавать вопросы. Никто не спрашивает, что вы делаете, никто не спрашивает, как вы это делаете." - cказал он.

Он говорит, что все осталось в основном так же, как в те времена, когда Горшков и Иванов отправились в ту злополучную поездку. Кроме того, что он каждые несколько недель проверяет список лиц, разыскиваемых ФБР, и избегает поездок за границу. Просто на всякий случай.

Ariana Eunjung Cha, перевод www.d-free.ru

Ссылки:
http://www.washingtonpost.com/wp-dyn/articles/A2619-2003May17.html
http://www.washingtonpost.com/wp-dyn/articles/A7774-2003May18.html
http://www.washingtonpost.com/wp-dyn/articles/A12984-2003May19.html
Комментарий ФСБ

обсудить  |  все отзывы (0)

[18276; 8; 8]




  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach