Как ФБР боролось с самым опасным хакером России

30 декабря 2016 года президент США Барак Обама ввёл санкции против ФСБ, ГРУ, нескольких технологичных компаний и двух хакеров, среди которых был и Евгений Богачёв.

Сейчас мужчина скрывается, и о его деятельности ничего не известно, но ещё несколько лет назад ФБР и лучшие IT-специалисты по кибербезопасности разыскивали этого человека по всему миру.

Становление «Зевса»

Весной 2009 года специальный агент ФБР Джеймс Крейг (James Craig) приехал в бюро в Омахе, штате Небраска. Он был бывшим морпехом и зарекомендовал себя как хороший IT-специалист, поэтому его назначили следователем по делу о крупной краже средств через интернет. В мае 2009 года у дочерней организации американской компании First Data украли 450 тысяч долларов. Чуть позже у клиентов первого национального банка Омахи украли 100 тысяч долларов.

Крейга смутило, что в обоих случаях кражи провели с IP-адресов самих жертв при помощи их логинов и паролей. После проверки компьютеров агент ФБР обнаружил, что оба устройства заражены одним вирусом — трояном «Зевс».

С помощью специалистов по кибербезопасности Крейг выяснил, что этот вирус впервые появился в 2006 году. Однако существуют версии, что впервые ботнет разошелся в 2007 году. Так или иначе, Zeus приобрёл огромную популярность у хакеров, а эксперты по безопасности описывали «Зевса» как удобный, эффективный и универсальный технологический шедевр. Крейг попытался найти автора вируса, однако узнал лишь никнеймы хакера: Slavik и lucky12345





Продолжив расследование, Крейг изучил принцип работы «Зевса». Он заражал компьютер через поддельные электронные письма и фальшивые интернет-уведомления, которые при нажатии обманом загружали в систему заражённый файл. Как только «Зевс» попадал в компьютер, он крал логины, пароли и PIN-коды пользователя на сайтах, используя кейлоггер, то есть записывая нажатия клавиш. Вирус мог даже менять формы входа в систему, получая доступ к ответам на тайные вопросы вроде девичьей фамилии матери или номера страхования. После этого компьютер мог незаметно для пользователя рассылать спам, распространяя вирус дальше.

Когда вы входите на, казалось, защищённый сайт, «Зевс» скрытно модифицирует страницу до её загрузки, узнает данные вашей учётной записи и выкачивает деньги со счёта.
До начала расследования Крейга Slavik часто появлялся на хакерских форумах и продвигал свой вирус. Однако в 2010 году он объявил об «уходе» и напоследок показал расширенную версию «Зевса» с возможностью привязать программу к своему владельцу. За копию программы Slavik просил 10 тысяч долларов. Такие затраты могли себе позволить не все хакеры, но и автор «Зевса» больше не хотел мыслить мелко — у него были большие планы.

Ещё летом 2009 года вместе с доверенными хакерами Slavik создал группировку элитных киберпреступников. Для оперативного общения он разработал модернизированную версию «Зевса» со встроенным мессенджером Jabber Zeus. Благодаря этому команда могла скрытно и оперативно общаться и координировать взломы банковских счетов. Новая тактика Slavikа предполагала, что главный упор будет сделан на кражу личных данных у бухгалтеров и менеджеров крупных компаний, имеющих доступ к финансовым системам.

Параллельно с этим Крейг проводил расследование, но, как он позже признался журналисту Wired, даже не подозревал о масштабах угрозы. И только когда десятки американских банков начали жаловаться на электронные кражи годичной выручки агент ФБР понял, что столкнулся с профессиональной хакерской группировкой.



Расследование спецслужб

В сентябре 2009 года Крейг вместе с несколькими IT-специалистами обнаружил в Нью-Йорке сервер, связанный с системой Jabber Zeus. Агент ФБР добился ордера на обыск и перезаписал трафик сервера на жёсткий диск. Когда инженер федеральной службы увидел содержимое данных, он на несколько минут потерял дар речи. Оказалось, что Крейг заполучил хакерскую переписку по мессенджеру Jabber с адресами из России и Украины.

Следующие несколько месяцев инженер американской компании по кибербезопасности Mandiant и сотрудники ФБР расшифровывали переписку. Процесс затруднился из-за хакерского сленга, который пришлось анализировать американским лингвистам.

В расшифрованных данных хакеры обсуждали взломанные компании, и благодаря этому Крейг обзвонил руководство организаций. Он сообщил, что их деньги пропали из-за опасного компьютерного вируса. К этому моменту бухгалтеров нескольких фирм уже уволили по подозрению в кражах.

Однако успешная расшифровка данных слабо продвинула дальнейшее расследование. Только под конец 2009 года Крейг выяснил, как хакерская группировка умудряется скрытно переводить огромные суммы денег.

Всё началось с рассказа трёх уроженок Казахстана сотрудникам ФБР. Они якобы приехали в Нью-Йорк в поисках работы, и однажды неизвестный предложил им поучаствовать в странной схеме. Их привозили на машине к банку, после чего женщины открывали там счёт и сообщали сотрудникам, что приехали в страну на лето по учёбе.

Несколько дней спустя мужчина привозил женщин, и они снимали деньги, поступившие на счёт. За эту работу им платили небольшой процент, а остальное передавали рекрутеру. Когда об этой истории узнал Крейг, он понял — женщин использовали как «денежных мулов». Их работа заключается в передаче денег хакерской группировке Slavik. Вскоре ФБР выяснили, что схема «мулов» работала в США, Румынии, Чехии, Великобритании, Украине и России.

По официальным подсчётам, к 2010 году хакеры украли от 70 до 80 миллионов долларов. Однако некоторые специалисты ФБР считают, что настоящая сумма гораздо больше.
Когда спецслужбы США попросили банки сообщать о людях, которые напоминают таких «мулов», агентам ФБР вскоре пришлось общаться с десятками людей. В основном это были студенты и иммигранты, снимающие со счетов по девять тысяч долларов, чтобы не привлекать внимания.

Летом 2010 года сотрудники службы арестовали двух уроженцев Молдавии, предлагающих работу «мулом». Параллельно с этим ФБР совместно с Минюстом определил, что трое лидеров хакерской группировки Slavik скрываются на Украине в Донецке.

Осенью 2010 года ФБР договорилось с украинской службой безопасности (СБУ) о совместном рейде к одному из лидеров хакеров Ивану Клепикову. Когда спецагенты пришли в квартиру в старом советском доме и начали обыск, хакер спокойно наблюдал за процессом. На кухне его жена держала на руках ребёнка и смеялась вместе с агентами СБУ. Крейг забрал больше 20 терабайтов информации с десятков жёстких дисков Клепикова и вернулся в США.

Параллельно с этим агенты арестовали 39 рекрутеров «мулов» в четырёх странах. Этого хватило, чтобы нарушить хакерскую систему отмывания денег. Однако Крейг разочаровался — ФБР нисколько не приблизились к поимке руководителя группировки Slavik. Спецслужбы знали наверняка только одно: у него есть жена. После рейда спецслужб на Украине лидер хакеров и автор Jabber Zeus исчез, и Крейга перевели на другое расследование.



Новый вирус и провальная атака

В 2011 году небольшое сообщество по кибербезопаности заметило новую разновидность «Зевса» с модернизированной системой бот-нета. В первоначальных версиях вируса заражённые компьютеры управлялись через один командный центр, что делало всю систему уязвимой. Ведь если спецслужбы обнаружат этот сервис, они смогут одним ударом отключить всю систему.

В новой версии «Зевса», ставшей известной как GameOver Zeus, заражённые компьютеры постоянно хранили и обновляли список других инфицированных. Это делалось на тот случай, если вирус на устройстве зафиксирует попытку перехватить его связь с командным центром. В такой момент заражённый компьютер мог переключиться на другой командный сервис и сбить с толку спецслужбы.

В ФБР предполагали, что GameOver Zeus использовала новая группировка хакеров «Бизнес-клуб», которую Slavik основал вместо рассеянной Jabber Zeus. Сначала GameOver крал банковские данные с помощью заражённого компьютера, затем выкачивал деньги и переводил на подконтрольные хакерам счета. Параллельно с этим вирус на компьютерах блокировал доступ к банковскому сервису, чтобы не дать людям проверить свои банковские счета до тех пор, пока деньги окончательно не перейдут злоумышленникам.

Новая система работала отлично. В ноябре 2012 года «Бизнес-клуб» украл почти 7 миллионов долларов у американской компании. В ФБР больше не могли захватить рекрутеров и прервать процесс поступления денег. Все «мулы» работали в городах дальневосточного Китая недалеко от Владивостока.

Но успех со взломами банковских счетов с помощью нового вируса оказался лишь началом новой стратегии Slavik. В октябре 2013 года группировка распространила в интернете вирус CryptoLocker, .



Скриншот с компьютера, заражённого CryptoLocker


В среднем за разблокировку хакеры требовали от 300 до 500 долларов. Деньги они принимали только в биткоинах, чтобы их не отследили спецслужбы. С помощью CryptoLocker хакеры смогли монетизировать тысячи компьютеров, которые попали под действия вируса, но не содержали полезной информации. Эта идея не была новой, но именно шифровальщик «Бизнес-клуба» развил её до международных масштабов.

В 2013 году американская компания по кибербезопасности Dell SecureWorks заявила, что около 250 тысяч компьютеров по всему миру ежегодно заражаются CryptoLocker.

С 2011 по 2013 года специалисты по кибербезопасности три раза пробовали подорвать работу серверов «Бизнес-клуба» и вируса GameOverZeus. Однако каждый раз хакерская группировка легко отбивала атаки. Единственным результатом таких действий стало то, что Slavik укрепил защиту на случай новых нападений.

Это, вероятно, и стало причиной провала следующей атаки. Её спланировала небольшая команда профессиональных IT-специалистов, борющихся с вирусами. Одним из экспертов группы был уроженец Германии Тильманн Вернер (Tillmann Werner) — работник компании CrowdStrike.

В феврале 2012 года IT-специалист полностью прервал работу вируса Kelihos, выросшего на рассылках спама с виагрой. Для Вернера это была большая победа, но он знал — Kelihos и близко не стоял с GameOver Zeus. Специалист видел, как легко Slavik отбил атаки на свои серверы, и учёл этот опыт.

Почти год Вернер и команда европейских специалистов работала над планом по «штурму» серверов GameOver Zeus. Идея заключалась в том, чтобы централизовать весь трафик вируса, исходящий из заражённых компьютеров, а затем направить его на сервер, контролируемый группой Вернера. Таким образом они надеялись отследить источник заражения — компьютер Slavik.

В январе 2013 года IT-специалисты атаковали серверы и быстро собрали в кучу 99% трафика инфицированных вирусом компьютеров. Однако оставшийся процент контролировал командный центр хакера, и все заражённые компьютеры были связаны с этим сервером. Через две недели Slavik снова контролировал инфицированные компьютеры. План, который европейские специалисты готовили девять месяцев, провалился.



Финальное столкновение

За последние десять лет отдел ФБР в Питтсбурге приобрёл статус самого мощного государственного аппарата по борьбе с киберпреступностью. Главную роль в этом сыграл агент Кит Муларски (Keith Mularsky). Он устроился в ФБР в 1998 году, и следующие семь лет расследовал дела по шпионажу и терроризму. Муларски не разбирался в компьютерах, однако в 2005 году перешёл в молодой отдел по киберзащите в Питтсбурге

Следующие два года Муларски работал под прикрытием, втираясь в доверие к руководству киберпреступной группировки DarkMarket. Хакерская организация прославилась кражами и продажей личных данных и номеров кредитных карт, и долгие годы оставалась неуловимой для ФБР.

Благодаря Муларски, ставшим администратором DarkMarket, в 2008 году спецслужбы арестовали по связям с группировкой 60 человек. После этого незаконный сайт закрылся, а отдел по борьбе с интернет-преступностью получил крупное госфинансирование. Поэтому когда операция европейских IT-специалистов по борьбе со Slavik провалилась, они попросили помощи у Муларски.

Обычно ФБР отказывается сотрудничать с другими организациями, однако агентству нужна была помощь. Поэтому ведущий расследование Slavik Муларски пригласил в команду европейских IT-специалистов, которые некогда штурмовали серверы «Зевса». Они знали принципы работы системы и, как решил Муларски, смогут помочь.

Объединённая команда по кибербезопасности составила вдумчивый план победы над Slavik и его вирусом. Для начала сотрудники ФБР должны были выяснить настоящее имя хакера, чтобы составить против него судебное дело. Затем европейские программисты вновь атаковали бы заражённые компьютеры и попробовали централизовать их трафик. Если бы это удалось, следователи получили ордеры на изъятие серверов. После этого специалисты планировали выпустить обновление, которое «вылечит» инфицированные компьютеры.

Сотрудники ФБР и программисты понимали, что если они допустят хотя бы одну ошибку, это поставит под угрозу всю операцию.
В начале 2014 года, через месяц после запуска расследования, команда вышла на след Slavik. Она отследила электронный адрес, на который был зарегистрирован аккаунт хакера на сайте «Бизнес-клуба». При тщательном изучении выяснилось, что следы электронной почты всегда связаны с одним именем в российских социальных сетях — Евгений Богачёв.

Следователи поняли, что 30-летний житель России из Анапы и есть тот хакер, который годами всухую обыгрывал международные спецслужбы и лучших киберспециалистов. На фотографиях Богачёв был с женой и дочерью, а позже программисты выяснили, что первую версию «Зевса» Богачёв написал ещё в 22 года.

Однако не определение настоящего имени Slavik стало открытием. Через его почту спецслужбы отследили регулярный трафик по заражённым компьютерам. С их помощью Богачёв искал секретные данные грузинских, турецких и украинских спецслужб, а также собирал информацию об участии России в сирийской войне.

После раскрытия этой информации специалисты решили, что программист шпионит для российского правительства. Эта теория стала ещё реальней, когда в марте 2014 года Крым вошёл в состав РФ. После этого частота запросов об украинских секретных данных с инфицированных компьютеров увеличилась.

На основе найденной информации команда IT-специалистов и ФБР построили теорию, что после анонса своего «ухода» в 2010 году Богачёв сформировал секретную хакерскую группировку. В какой-то момент на него вышли российские спецслужбы и предложили сделку: шпионить для Кремля в обмен на разрешение продолжить электронные кражи.

Собрав эту теорию воедино, ФБР запросила у судов ордеры для захвата серверов GameOver и «Бизнес-клуб». К этому времени европейские специалисты знали систему «Зевса» не хуже, чем Богачёв. Они выяснили, что главные командные центры вируса расположены в Канаде и на Украине, и власти этих стран согласились временно отключить их на время операции.

30 мая 2014 года, спустя больше года с начала расследования, спецслужбы Канады, США, Великобритании, Италии, Японии и других стран подготовились к штурму серверов Богачёва. Как только команда получила разрешение, канадские и украинские спецслужбы отключили командные серверы вируса внутри стран, а затем специалисты начали перекачивать трафик заражённых компьютеров на свои серверы. Параллельно программисты блокировали доступ хакерской группировки к сайту «Бизнес-клуба», чтобы помешать скоординировать оборону.

За несколько часов усиленной работы инженеры команды едва смогли перехватить сто инфицированных компьютеров — недостаточный урон для вируса, захватившего полмиллиона устройств. Однако с каждым следующим часом специалисты захватывали всё больше заражённых компьютеров.

В это же время инженеры зафиксировали активность с IP-адреса Богачёва, пытающегося стабилизировать ситуацию. Он видел, что атаку координировали профессионалы, и не собирался сдаваться. Команда предугадала действия хакера и отключила турецкий прокси-сервер, с которого он работал. К этому моменту борьба продолжалась уже больше десяти часов, и собравшиеся сотрудники ФБР вместе с программистами нервно наблюдали за технологичным столкновением.

Через 60 часов после начала операции специалисты объявили о победе. Командные центры Богачёва не работали, а основная часть заражённых компьютеров контролировалась через серверы спецслужб. Следующие несколько недель Богачёв пробовал вернуть контроль над трафиком, но спецслужбы отбили атаки. Через год после поражения российского хакера в США почти полностью прекратились тайные перехваты аккаунтов по принципу «Зевса».

Долгие годы специалисты предполагали, что за этой вирусной схемой стоят десятки группировок, но на самом деле этим занималась лишь небольшая команда профессиональных хакеров.

В 2015 году власти США объявили награду в 3 миллиона долларов за информацию, которая поможет задержать Богачёва. Это самая большая премия за поимку киберпреступника в американской истории.

По данным правительственных источников издания Wired, власти США не считают, что Богачёв по заказу российской стороны участвовал во взломе данных, связанных с выборами в США. Источник заявил, что администрация Барака Обамы в 2016 году включила Богачёва в санкционный список для давления на российское правительство: якобы Кремль может передать хакера американским властям в качестве жеста примирения.

По данным спецслужб США, за всё время работы «Зевса» его автор украл как минимум 100 миллионов долларов. Команда ФБР из Питтсбурга продолжает розыск хакера и получает наводки о возможном местонахождении Богачёва. Однако пока неизвестно, что планирует делать сам российский хакер.

Интересная история, не правда ли? А теперь не менее интересный вопрос: как вы думаете, если наши спецслужбы найдут этого хакера, что они должны сделать? Выдать его США или устроить его к себе на работу?

И второй вопрос: а что в обратной ситуации сделает ФБР с американским хакером, хакнувшым много чего в России?

источники
https://lampa.live/2017/03/22/ohota-na-russkogo-hakera/
https://tjournal.ru/42272-ohota-za-rossiyskim-hakerom