Искушение для двоих русских: приманка — работа в США
ХАКЕРЫ: ловушка ФБР
Кошмар Jon Morgenstern начался с получения электронной почты. 15 июля 2000 года он нашел в своем почтовом ящике письмо примерно следующего содержания:
«Ваша система защиты под угрозой. Мы хотели бы помочь вам»
Morgenstern, президент компании E-Money Inc., расположенной в Вашингтоне, занимающейся интерактивными расчетами, почувствовал неладное. Это была явная угроза.
Его опасения подтвердились на следующий день, когда юношеский голос спросил по телефону, получил ли он электронную почту. Человек назвался Алексом и сказал, что он представитель «Expert Group of Protection Against Hackers» из России. Он сказал, что он получил доступ к базе данных номеров кредитных карт заказчиков компании и будет счастлив прекратить дальнейшие вторжения в систему, если ему заплатят 500 000$
Поскольку конфиденциальность компьютеров E-Money Inc была нарушена, Алекс попросил чтобы Morgenstern зашел на один из его серверов и нашел там системный файл, содержащий некоторые доказательства его пребывания в системе. Morgenstern не нашел исправленного файла, однако Алекс сказал: «Я был там»
Так началось серия трансатлантических телефоных переговоров, е-майл переписке и диалогов по icq, для того чтобы выяснить местоположение хакеров. В конце концов, эти диалоги и привели к аресту двух членов «Группы экспертов», что позволило положить конец террористическим действиям, в отношении бизнесменов США
Действия хакеров в течении нескольких предыдущих лет приводили к кризису. По данным корпорации Symantec, специализирующейся на компьютерной защите, каждая компания США подвергалась нападениям, в среднем, до 30 раз в неделю. Большая часть этих атак являлась простым сканированием на наличие уязвимостей, однако 15% фактически являются успешными проникновениями.
Morgenstern(а), тем временем, охватывали противоречивые чувства. С одной стороны он не хотел платить вымогателям, а с другой он понимал, что хакеры разрушат репутацию его компании. Даже незначительная утечка конфиденциальной информации о его клиентах могла бы окончится плачевно. E-Money Inc. — компания, основанная на доверии.
Morgenstern нанял дорогого консультанта по компьютерной безопасности из Силиконовой Долины, что бы он и его системные администраторы сделали окончательный анализ системы E-Money на наличие других уязвимостей. Morgenstern потратил более 1 миллиона $ на оплату консультантов и закупку нового оборудования.
Тем временем, Morgenstern пробовал вести переговоры с хакерами. Требования 500 000 $ как » страховки по восстановлению системы » стали 250 000$, потом 150 000$, и наконец 75 000$.
Morgenstern понял, что если бы он не заплатит, то хакеры запустят новый тип атаки, который резко увеличит трафик его серверов и сделает невозможным финансовые трансакции.
Тогда Morgenstern обратился в ФБР
Для агентов ФБР это был знакомый сценарий. ФБР в течении многих месяцев отслеживало деятельность тех организованных хакерских групп из России, Украины и других стран, которые пробовали вымогать деньги у администраторов вебсайтов. В частности стала появляться информация о «Группе экспертов». » Количество потерпевших и их потерь заставило нас принять это дело без всяких доказательств» — вспоминает Charlie Mandigo, агент ФБР, который был одним из старших следователей по делам о вымогательстве, дело, по заявлению потерпевшего, касалось более 1 миллиона номеров кредитных карт. Агенство умоляло фирмы улучшить защиту их систем.
Один из сотрудников ФБР Don Cavender, работавший с делом, рассказал, что количество и качество атак заставило их привлечь более квалифицированных специалистов по борьбе с кибер-преступностью. Отчасти как реакция на этот случай, штат агентов отдела по борьбе с кибер-криминалом возрос до 700 человек. Еще 200 человек наняла Секретная Служба.
Местное отделение ФБР прислало двух агентов на помощь Morgenstern(у). Они привезли и установили в офисе E-Money’s оборудование таким образом, чтобы Morgenstern мог бы записывать все его переговоры с Алексом и его другом, тем который назызвал себя Виктором или Владимиром. Несколько недель агенты находились рядом с Morgenstern(ом) на работе и дома. Они подключались во время переговоров и пили одну диет-пепси за другой.
Они советовали ему сохранять записи переговоров и вытянуть как можно больше информации, касающейся этих парней.
Morgenstern сказал, что говорил с хакерами не реже четырех раз в неделю, иногда даже чаще. Обычно звонили Алекс или Виктор, утверждая, что звонят через захваченный ими спутниковый канал.
Каждый раз переговоры шли следующим образом:
{nl}Алекс предлагал понизить цену за «защиту», а Morgenstern находил все новые оправдания, почему он не может заплатить.
«Мы заплатим вам, крутым парням, и еще мы бы хотели заключить с вами долгосрочный контракт» — говорил Morgenstern (в E-Money работало 15 человек, которые практически не получали зарплату) «Вы нужны нам в Соединенных Штатах. Мы могли бы встретится в более нейтральном месте — Финляндия? Дания?» (Он надеялся, что спецслужбы этих стран, сотрудничающих с США, арестуют хакеров)
Шли дни и тон переговоров от резкого и высокомерного становился все более спокойный и доброжелательный. Иногда хакеры звонили Morgenstern(у) домой. Morgenstern сказал, что его маленький сын настолько привык к частым и многочасовым разговорам, что еще долго будет подбегать и кричать: «Папа, это снова звонит Алекс!» 1
Morgenstern сказывал им о жизни в США, а они, в свою очередь, о жизни в России.
Алекс рассказал, что после окончания школы он не мог устроиться на работу, и что у него не хватало денег на покупку еды и одежды. Виктор сказал, что он старше и что он женился на женщине с ребенком. Их личные качества были очевидны в выборе адресов е-майл. Алекс был «megapunk», а Виктор использовал более универсальное имя «accessd»
Алекс, похоже, был доволен своим положением. Однажды он высказался, что «жизнь здесь, как у короля» на деньги, которые он делал на американских корпорациях. Но Виктор, казалось, был не настолько уверен в себе.
«Вы не понимаете, как интенсивно я работаю. Я работаю 72 часа, одновременно и я имею всех моих программистов. Мы работаем все больше…. Jon, Вы думаете, что я люблю это делать ради выживания?»
Алекс и Виктор описывали, как их зажимали «ребята в кожаных куртках» с «большими пистолетами». Работая на преступную группу предполагалось, что они будут получать 50 центов с каждого украденного номера кредитной карточки, но часто они не получали даже этого.
Однажды Виктор сказал Morgenstern(у) такое, от чего тот чуть не упал. Он попросил его забыть про деньги. Он просто просил о визе и работе в США.
«Пожалуйста, найдите для меня работу в Америке» — вспоминает Morgenstern слова Виктора. «John, я буду устраивать вашу систему, на вас никто не будет нападать. Я должен содержать свою жену и маленького ребенка»
Виктор подтвердил свои намерения по е-майл через несколько дней, 15 сентября: «Я принял решение. Я приеду в США и встречусь с Вами при первой возможности. Я устал скрываться. Я рискну. Я думаю, что я могу доверять Вам…. Я хочу получить работу, чтобы забыть свое преступное прошлое.»
Morgenstern, как юрист, сочувствовал их незавидному положению. Он предложил выступить как парламентер между ними и агентами ФБР, и добиваться иммунитета от преследования со стороны ФБР, если они вдвоем прибудут в Штаты и найдут честную работу. Morgenstern сказал им, что будет разговаривать с агентами ФБР относительно такой возможности.
Атаки неожиданно прекратились и Morgenstern больше никогда не получал от них известий.
Летом 2000, до того как система Morgenstern(а) была взломана, Содиненные Штаты рассматривали «Группу экспертов», как серьезную угрозу финансовым сетям страны. Люди, называющие себя членами группы взяли на себя ответственность за наиболее критические из атак на Western Union, PayPal и серию региональных банков. Следователей волновало то, что вымогательство только часть преступной деятельности, которую могла вести группа. Они не знали имели ли хакеры доступ к другим сетям, и не было ли попыток создания производства фальшивых кредитных карт. Атаки, казалось, были скоординированы кем-то, кем-то кто знал намного больше, чем средний хакер относительно отмывания денег, кем-то, кто мог обращать номера кредитных карт в товар, затем продавать товар и получать наличные.
«Мы заметили одну возмутительную тенденцию — сотрудничество между русскими хакерами и традиционной организованной преступностью» — сказал Shawn J. Chen, юрист который работал над этим делом.
Более дюжины юристов США, агентов ФБР из Коннектикута, Вашингтона, Калифорнии и Нью-Джерси устроили «мозговой штурм» по проблеме хакеров.
В течение нескольких месяцев эта команда разрабатывала методы, позволяющие арестовать русских хакеров. Они подозревали, что по крайней мере некоторые взломы совершались неким Алексеем Ивановым. Он был настолько уверен в себе, что разослал свое резюме с фотографией тем компаниям, у которых вымогал деньги. В то время, как фэбээровцы расследовали инцидент с CTS Network Services из Сиетла, компании которая «наняла» Иванова, как консультанта, на одном из счетов хакера обнаружилось 38,000 номеров кредитных карт из базы данных E-Money.
Министерство юстиции США через дипломатические каналы послало запрос на задержание Иванова. Не последовало никакой реакции. Был послан второй запрос, снова Российские власти никак не отреагировали.
У США не было никакой возможности схватить Иванова на территории России, поэтому они должны были найти способ, чтобы арестовать его на своей территории. Выбор пал на Stephen Schroeder, ведущего специалиста в делах подобного рода.
«У нас нет договора с Россией о выдаче преступников, тем более, если преступление совершено не на территории России» — сказал Schroeder, -«отсутствие договора сделало случай с хакерами чрезвычайно трудным»
Несколькими годами раньше, Соединенные Штаты взяли на себя инициативу сотрудничества с другими развитыми промышленными странами в области кибер-криминала. Это привело к созданию- договора с G-8 о совместном использовании информации и предоставлению данных о подключениях поставщиков интернет-услуг агентам ФБР и другим юридическим лицам. Полномочия США так же распространялись на агентов, предписывая им посещать любые страны, чтобы расследовать подобные преступления. Кроме того США вынуждают другие страны создавать законы, признающие нелегальность хакинга.
Но в конце это — индивидуальное дело каждой страны, решить для себя, хотят ли они помочь или нет.
Заявления Morgenstern(а) для русских программистов о возможности деловых контактов всего лишь закулисная работа ФБР, что бы получить хакеров в том месте, где их можно было бы арестовать. Переговоры Morgenstern(а), как и других потерпевших, давали ключевую информацию о иерархии группы и личных качествах подозреваемых, позволяя правительству США найти такое предложение, от которого Иванов не смог бы отказаться
Подобное предложение оказалось у компании Invita Technologies. Компания Invita Technologies, проводящая операциями с ценными бумагами подыскивала компанию, оказывающую консультационные услуги в области интернет-секьюрити. Будущие работодатели сообщили Иванову, что слышали весьма лестные отзывы о нем и рассматривают его кандидатуру как потенциального партнера. Для собеседования он должен был приехать в Сиэтл.
Такая перспектива казалась Иванову просто волшебной. Наконец кто-то в Америке оценил его способности.
Иванов вошел в контакт с Invita и спросил, не мог ли он также пригласить на собеседование своего «делового партнера», Василия Горшкова, чье имя сотрудники ФБР раньше не слышали. Компания дала положительный ответ. Invita оплачивала проезд Иванова до Сиэтла, но Горшков должен был платить за поездку самостоятельно. Горшков с удовольствием расстался с деньгами.
Сергей Горшков, старший брат Василия, вспоминает, что Василий не переставал улыбаться с тех пор, как получил это сообщение. «Это было похоже на его сбывшийся сон» — сказал Сергей в своем последнем интервью.
Представитель «компании» встретил хакеров в аэропорту Сиэтла в ноябре 2000. Он привез их административное здание, где хакеров попросили показать свою квалификацию.
ФБР вело скрытую съемку встречи. Черно-белая запись показывает двоих молодых людей, в непривычной для Сиэтла теплой одежде, в которой они прилетели из Челябинска. служащие компании суетятся вокруг них в комнате размером 8х20 футов, спрашивают не хотят ли они воды или чего-нибудь еще. Они рассуждают о погоде и ценах на сигареты. Потом начинается серьезный разговор.
Горшков начинает грузить агентов ФБР, что они опытные хакеры. Он описывает их прошлые подвиги. Иванов тем временем, набирает что-то на клавиатуре своего нотбука, потом по клавиатуре компьютера «компании», очевидно анализируя защиту вебсайтов под звуки поп-музыки.
Тайный агент ФБР спрашивает: «Как часто Вы взламывали компьютерные системы и Вы когда-либо находили номера кредитных карточек?»
Горшков избегает вопроса. Он хихикает, затем говорит: «Об этих вещах лучше говорить в России»
Но поскольку разговор тянется в течение часа или так, он становится более уверенным в себе.
Горшков: » Мы не думаем относительно ФБР вообще. Потому что они не могут добраться до нас в России.»
ФБР: «Право»
Горшков: «Ваши парни не могут работать в России.»
Без ведома Горшкова и Иванова агенты установили кейлоггер на компьютеры «компании», который фиксировал любые нажатия клавиш. Поскольку они обращались к tech.net.ru, эта мера позволила федеральным агентам узнать пароли хакеров.
Около пяти часов вечера должностные лица «компании» предлагают отвезти Горшкова и Иванова на квартиру, которая была для них арендована. После непродолжительной поездки дверь автомобиля открылась и кто-то закричал: «Это ФБР. Выходите из машины! Выходите из машины и держите ваши руки за спиной»
Несколькими часами позже все было кончено. Иванов и Горшков находились в тюрьме. Компьютерные специалисты из ФБР, тем временем, загружали информацию из компьютеров хакеров и с tech.net.ru. В конечном итоге было загружено 2700мB данных — взламывающие программы, свидетельства о вымогательстве, номера кредитных карт — все, что могло помочь в расследовании этого дела.
Morgenstern не слышал об аресте до 2001 года. Несколькими месяцами раньше он продал свое дело за круглую сумму. Он не был уверен в том, действительно ли Горшков и Иванов были теми людьми, с которыми он говорил по телефону, но он знал, что так или иначе они были связаны, поскольку и те и другие входили в «Группу экспертов». Он испытывал смешенные чувства. С одной стороны он был возмущен действиями тех парней, которые поставили его бизнес в столь опасное положение, а с другой он понимал, что возможно у них не было выбора.
«Это не их вина, что они живут в таком месте, где не могут найти применения своим способностям.»- сказал Morgenstern.
В суде Горшков вел себя доброжелательно. Он признал себя виновным в сговоре, компьютерном мошеничестве, взломе и вымогательстве. Позднее он был приговорен к 3 годам тюрьмы и выплате 700,000 $ штрафа. Иванов признался во взломе 16 компаний, в том числе и E-Money, участие в схеме обмана PayPal, используя украденные номера кредитных карт. Вероятно он будет приговорен этим летом и встретит свое 20-летие в тюрьме и будет обязан выплатить 250.000$ штрафа.
Операция, проведенная ФБР, описана как пример изобретательности американской правовой системы. Агенты Marty Prewett и Michael Schuler были награждены.
Но есть еще небольшая проблема.
В серии интервью с корреспондентами, это происходило в течение следующего года, Иванов подтверждал, что это он взломал E-Money, но это не он называл себя Алексом, а Горшков не был Виктором. Кто-то еще говорил по телефону с Morgenstern(ом) и этот кто-то был до сих пор в России
Примечания: