Утром 30 декабря, днем позже после введения Бараком Обамой санкций против России за вмешательство в выборы в США 2016 года, Тильманн Вернер завтракал в Бонне, Германия. Он намазал варенье на кусочек ржаного хлеба, налил себе чашку кофе и погрузился в Twitter.
Новость о санкциях появилась ночью, и Вернер, исследователь компании CrowdStrike, специализирующейся в области кибербезопасности, стал жадно искать подробности. Открыв по ссылке текст официального заявления, Вернер увидел, что целью Белого дома стал целый перечень русских имен и учреждений — двух спецслужб, четырех высокопоставленных сотрудников разведки, 35 дипломатов, трех технологических компаний и двух хакеров. Большинство деталей было скрыто за блюром. Вернер на мгновение остановил прокрутку. Его взгляд зацепился за имя, утонувшее среди прочих: Евгений Михайлович Богачев.
Вернер хорошо знал, кто такой Евгений Богачев, и обладал подробными техническими данными того, как Богачев в течение многих лет безнаказанно грабил и терроризировал мировые финансовые системы. Он знал, что значит сражаться с ним.
Но Вернер абсолютно не представлял себе, какую роль мог сыграть Богачев в атаке на избирательную систему США. Богачев выбивался из ряда прочих фигурантов, ведь он был грабителем банков. Возможно, самым продуктивным грабителем банков в мире. «Что он делает в этом списке?» — удивился Вернер.
1. ОМАХА
Война Америки с крупнейшим киберпреступником в России началась весной 2009 года, когда специальный агент Джеймс Крейг, новый сотрудник подразделения ФБР в штате Небраска, заняв свой офис, начал изучать два странных случая электронных краж. Крейг, в прошлом морской пехотинец, был агентом всего полгода, но его начальство, памятуя о его прошлых заслугах, поручило это дело именно ему. В течение многих лет он был ИТ-специалистом в ФБР. В колледже его называли «молчаливым гиком».
Главным потерпевшим в этом деле выступала дочерняя компания гиганта в области денежных переводов First Data, которая в мае потеряла 450 000 долларов. Вслед за этим произошла кража в размере 100 000 долларов у клиента Первого Национального банка Омахи. Странным в этих кражах было то, что они, похоже, были выполнены с собственных IP-адресов жертв, с использованием их же логинов и паролей. Исследовав компьютеры потерпевших, Крейг обнаружил, что они заражены одним и тем же вредоносным ПО — трояном Zeus.
Как выяснил Крейг, Zeus был хорошо знаком специалистам в области интернет-безопасности . Впервые появившись в 2006 году, эта вредоносная программа зарекомендовала себя и среди злоумышленников, и среди экспертов по безопасности, в качестве настоящего шедевра — совершенный, эффективный, универсальный инструмент. Авторство трояна принадлежало интернет-призраку. Он проявлялся только в сети, где его знали под никами Slavik, lucky12345 и еще полдюжины других имен.
Zeus проникал в компьютеры с помощью элементарных средств: поддельные электронные письма налоговой или фальшивые уведомления о доставке посылок, обманом вынуждающие получателей осуществить загрузку прикрепленных файлов. Но едва попав на ваш компьютер, Zeus позволял хакерам почувствовать себя Богом: можно захватить контроль над веб-сайтом и использовать кейлоггер для записи имен пользователей, паролей и PIN-кодов. Хакеры могли даже видоизменять оформление сайтов, добавляя в формы авторизации запрос дополнительной информации о безопасности: девичью фамилию матери, номер социального страхования. Уловка известна как атака «человек в браузере». Пока вы сидите за своим компьютером, регистрируясь на кажущихся безопасными веб-сайтах, вредоносное ПО модифицирует страницы перед их загрузкой, скачивая ваши учетные данные и баланс вашего аккаунта. Только войдя с другого компьютера, вы понимаете, что деньги исчезли.
К тому времени, когда Крейг начал свое расследование, Zeus уже стал для цифрового андерграунда выбором №1 среди вредоносных программ — этакий Microsoft Office онлайн-мошенничества. Slavik был уникумом в мире вредоносных программ: настоящим профессионалом. Он регулярно обновлял код Zeus, проводил бета-тестирование новых функций. Его продукт имел возможность неограниченной адаптации с вариантами, оптимизированными для различных видов атак и целей. Компьютер, зараженный Zeus, может быть встроен в бот-сеть, сеть зараженных компьютеров, используемых в качестве серверов-спамеров, для DDOS-атак или отправки еще большего количества поддельных электронных писем для дальнейшего распространения вредоносного кода.
Но незадолго до того, как Крейг начал расследовать это дело в 2009 году, Slavik начал менять курс. Он стал формировать вокруг себя сообщество онлайн-преступников, предоставляя группе избранных продвинутый вариант своего вредоносного ПО под названием Jabber Zeus. Он был оснащен подключаемым модулем Jabber для мгновенного обмена сообщениями, позволяя группе связываться друг с другом и координировать атаки, как это было сделано в двух эпизодах краж в Омахе. Отказавшись от широкоформатных атак, преступники сконцентрировались на бухгалтерах предприятий и людях, обладающих доступом к финансовым системам.
Поскольку Slavik был все больше сосредоточен на организованной преступности, он резко сузил свой розничный сегмент преступного бизнеса. В 2010 году он распространил в сети информацию о своем «выходе на пенсию», а затем опубликовал то, что исследователи безопасности окрестили Zeus 2.1, усовершенствованную версию своей вредоносной программы, защищенной ключом шифрования, надежно привязывающим каждую копию к конкретному пользователю. Цена каждой копии программы составляла более 10 000 долларов США. Отныне Slavik имел дело только с элитой, честолюбивой группой преступников.
«Мы и представить себе не могли, насколько крупным являлось это дело», — говорит Крейг. «Активность этих парней была феноменальна». От множества учреждений хлынул поток сообщения о мошенничестве. Крэйг понял, что имеет дело с хорошо организованной международной преступной сетью. «Недостатка в потерпевших не было», говорит Крейг. Это превосходило любые другие киберпреступления, которые ФБР когда-либо расследовало.
2. JABBER ZEUS
Первый серьезный прорыв Крейга в этом деле произошел в сентябре 2009 года. С помощью экспертов в данной отрасли он определил нью-йоркский сервер, который, похоже, играл какую-то роль в сети Zeus. Он получил ордер на обыск, и команда криминалистов ФБР скопировала данные сервера на жесткий диск, а затем сидела над ним в Небраске ночи напролет. Когда инженер в Омахе изучил результаты, он на мгновение потерял дар речи. Жесткий диск содержал чат-лог с десятками тысяч сообщений на русском и украинском языках. Посмотрев на Крейга, инженер произнес: «В ваших руках их сервер Jabber».
С этого началась разработка плана по поимке банды. Компания «Мандиант», специализирующаяся на кибербезопасности на несколько месяцев откомандировала своего инженера в Омаху, чтобы помочь расшифровать код Jabber Zeus. Тем временем ФБР стало привлекать к расследованию своих агентов из других регионов. Работу над чат-логом распределили между лингвистами по всей стране. «Самым трудным был перевести сленг», — говорит Крейг.
Сообщения содержали ссылки на сотни жертв, файлы, содержащие их украденные учетные данные на английском языке. Крейг и другие агенты начали обзванивать финансовые организации, информируя их о том, что те являются пострадавшими от кибер-мошенничества. Было установлено, что несколько компаний уволили своих сотрудников в связи с подозрениями в кражах, не понимая, что на самом деле компьютеры этих сотрудников были заражены вредоносными программами, а их данные для входа в информационные системы — украдены.
Дело вышло за пределы виртуального мира. Однажды в 2009 году в офис ФБР в Нью-Йорке пришли три молодые женщины из Казахстана и поведали странную историю. Женщины приехали в Штаты искать работу и оказались вовлеченными в любопытную схему: некий мужчина обратился к ним с просьбой посетить местный банк и открыть счет. Кассиру они должны были представиться студентками, приехавшими на лето. Что они и сделали. Через несколько дней мужчина снова привез их в банк, чтобы они сняли со счета все деньги. За это они получили небольшое вознаграждение, а все остальное передали ему. Агенты сошлись во мнении, что женщины выступили в роли «денежных мулов» : их задача заключалась в том, чтобы вывести деньги, которые Slavik с подельниками переводили с легальных счетов.
К лету 2010 года нью-йоркские следователи оповестили банки по всему региону о необходимости вызова агентов ФБР в случае совершения их клиентами подозрительных переводов, что впоследствии дало возможность выявить десятки мулов, снявших десятки тысяч долларов. Большинство из них были студентами или недавно прибывшими иммигрантами, обитающими на Брайтон-Бич. Одна женщина объяснила, что она превратилась в мула после того, как ее уволили из продуктового магазина и сказала агенту: «Мне оставалось либо танцевать стриптиз, либо сделать это». Другой мужчина рассказывал, как его привозили в банк к 9 утра, до 3 вечера он осуществлял снятие наличных, а остаток дня проводил на пляже. Объем большинства денежных сумм, снятых со счетов, составлял около 9000 долларов, что вполне достаточно, чтобы оставаться в рамках федеральных ограничений отчетности. Мул получал обычно в пределач 5-10 процентов от общей суммы. Часть денег причиталась вербовщику. Остальные деньги отправлялись за границу.
Соединенные Штаты оказались не единственным местом совершения киберпреступлений. Организованная группа работала по всему миру. Удалось отследить аналогичных мулов в Румынии, Чехии, Великобритании, Украине и России. Объем операций, по мнению следователей, составлял не меньше $70 — 80 млн. Банки призвали ФБР покончить с мошенниками. Летом нью-йоркские агенты стали подбираться к верхушке преступной схемы в США. Двое молдаван были арестованы в гостинице в Милуоки в 11 часов вечера в момент уплаты чаевых. Один подозреваемый в Бостоне попытался сбежать по пожарной лестнице во время облавы на квартиру своей подруги.
Тем временем Крейг в Омахе продолжал расследование дела банды Jabber Zeus. Внимание ФБР и министерства юстиции привлек город Донецк на востоке Украины, где, похоже, жили некоторые из лидеров «Jabber Zeus». Алексей Брон, известный в сети как «thehead», специализировался на переводе денег банды по всему миру. Иван Викторович Клепиков, по прозвищу «petr0vich», управлял ИТ-подразделением группы, веб-хостингом и доменными именами. А знаменитый местный диджей Вячеслав Игоревич Пенчуков, «tank», управлял всей схемой, являясь вторым лицом в банде после Slavik’a. «Обороты этой группы детишек — каждому около двадцати лет — сопоставимы с оборотами компаний из списка Fortune 100», — говорит Крейг. Бандиты тратили свою огромную прибыль на дорогие машины (у Пенчукова была склонность к навороченным BMW и Porsche, тогда как Клепиков предпочитал спортивные седаны Subaru WRX), а чат-журналы были переполнены обсуждениями отпусков в Турции, Крыму и ОАЭ.
К осени 2010 года ФБР было готово к уничтожению сети. Как поведали власти на пресс-конференции в Вашингтоне, Крэйг пришлось совершить 12-часовое турне по Украине до Донецка, где он встретился с агентами службы безопасности страны, чтобы совершить облаву на дома tank’а и petr0vich’а. Стоя в гостиной Петрова, украинский агент попросил Крейга достать его значок ФБР. «Покажите ему, что тут не только мы», — убеждал он. Крейга поразила представшая перед ним сцена: хакер в бархатной фиолетовой куртке казался невозмутимым, когда агенты обыскивали его грязную квартиру в панельной многоэтажке. Его жена стоя на кухне с ребенком на руках смеялась над следователями. «И это банда, за которой я гонялся?» — думал Крейг. Облава длилась всю ночь. Крейг смог вернуться в отель только к 3 часам ночи. На руках у него было почти 20 терабайт данных, с которыми ему предстояло вернуться в Омаху.
Совершив 39 арестов в четырех странах, следователи смогли нарушить работу сети. Но важные игроки ускользнули. Главный вербовщик мулов в США бежал на запад страны, оставаясь на шаг впереди следователей в Лас-Вегасе и Лос-Анджелесе. После чего, наконец, покинул страну в судовом контейнере. И самое главное, Slavik, главный вдохновитель, оставался полной загадкой. Следователи предполагали, что он находился в России. Как-то раз в онлайн-чате промелькнула информация, что он был женат. Это вся информация о нем, которой располагали следователи. В официальном обвинительном заключении, относящемся к создателю вредоносной программы Zeus, использовался его сетевой псевдоним. Крейг даже не знал, как выглядит его главный подозреваемый. «У нас есть тысячи фотографий tank’а, petr0vich’а, но нам ни разу не попалось фото Slavik’а», — говорит Крейг. Вскоре следы интернет-преступника исчезли даже в сети. Кем бы он ни был, Slavik пропал. И после семи лет следствия по делу Jabber Zeus Джеймс Крейг занялся другими расследованиями.
3. ИГРА НЕ ОКОНЧЕНА
Примерно через год после того, как ФБР покончило с сообществом Jabber Zeus, небольшая группа исследователей кибербезопасности в Интернете, которые следят за вредоносными программами и ботнетами, отметило появление новой модификации Zeus. Исходный код вредоносного ПО был слит в интернет в 2011 году — возможно, преднамеренно, возможно, нет — эффективно превращая Zeus в проект с открытым исходным кодом и способствуя созданию уймы новых вариантов. Но версия, которая привлекла внимание исследователей, была иной: более мощной и более сложной, особенно в ее подходе к организации бот-сетей.
До тех пор большинство бот-сетей имело веерную структуру: хакер программировал один командный сервер, направляющий запросы на зараженные компьютеры, известные как компьютеры-зомби. Армия цифровой нежити может затем быть задействована в рассылке спама, распространение вредоносного ПО или DDOS-атаке на сайты. Но такая конструкция позволяла сотрудникам правоохранительных органов и подразделениям, ответственным за кибербезопасность довольно легко их ликвидировать. Для этого достаточно отключить командный сервер от сети, установить контроль за ним или воспрепятствовать хакеру управлять им.
Однако новый вариант Zeus был основан одновременно и на традиционных командных серверах, и на одноранговой сети зомби-машин, что крайне затрудняет дезорганизацию их работы. Зараженные компьютеры содержали постоянно обновляемый список других зараженных компьютеров. Если одно из устройств обнаруживало потерю соединения с командным сервером, оно перенаправляло запрос в одноранговую сеть для поиска нового командного сервера.
Сеть, по сути, была создана с самого начала и изначально предусматривала риск ликвидации извне. Как только один командный сервер отключался от сети, владелец ботнета мог просто установить новый сервер где-нибудь еще и перенаправить одноранговую сеть на него. Новая версия получила известность под именем GameOver Zeus, по названию одного из своих файлов, gameover2.php. Название было не лишено юмора. С появлением вируса среди экспертов по безопасности ходила шутка, что для ваших банковских счетов игра окончена.
Судя по всему, GameOver Zeus контролировался очень опытной группой хакеров, а лидером в ней был Slavik. Он вновь появился и теперь был еще сильне, чем когда-либо. Новое преступное сообщество Slavik’а получило название «Бизнес-клуб». Внутренний анонс группы в сентябре 2011 года о выходе нового онлайн-инструментария для организации денежных переводов заканчивалось теплыми словами Slavik’а, обращенными к избранным клиентам: «Мы желаем всем вам успешной и продуктивной работы».
Подобно сети Jabber Zeus, основная работа Бизнес-Клуба была нацелена на банки, что она и делала с куда большей изобретательностью, чем ее предшественница. Схема была многоходовой. Сначала GameOver Zeus крала учетные данные пользователя, перехватив их, как только кто-то с зараженного компьютера входил в онлайн-аккаунт. Затем Бизнес-Клуб опустошал банковский счет, переводя с него средства на другие счета, которые они контролировали за границей. После совершения кражи в ход шла армия сетевых ботов, поражающих целевые финансовые учреждения DDOS-атакой, чтобы отвлечь сотрудников банка и не допустить, чтобы клиенты поняли, что их счета были опустошены, пока деньги не будут выведены. 6 ноября 2012 года ФБР стало свидетелем того, как сеть GameOver украла 6,9 миллиона долларов за одну транзакцию, а затем поразила банк мощной DDOS-атакой.
В отличие от банды Jabber Zeus, интерес более развитой сети, стоявшей за GameOver, составляла кража крупных шести- и семизначных сумм. При таких масштабах вывод средств в Бруклине стал непригоден. Вместо этого вся взаимосвязанная банковская система земного шара стала использоваться против самой себя. Миллионные кражи были скрыты внутри триллионов долларов легального денежного оборота, который ежедневно происходит по всему миру. Следователи сфокусировали особое внимание на двух областях в дальневосточном Китае, недалеко от российского города Владивостока, из которых мулы направляли огромные суммы украденных денег на счета Бизнес Клуба. Стратегия, раскрытая следователями, представляла собой эволюционный скачок в организованной преступности: грабителям банков больше не нужно было присутствовать в США. Теперь они могли делать все удаленно, никогда не касаясь юрисдикции США. «Это все, что нужно, чтобы действовать безнаказанно», — говорит Лео Таддео, бывший сотрудник ФБР.
4. ОСТАНОВИТЬ УТЕЧКУ
Банки были не единственной целью банды. Помимо этого они совершали атаки на счета больших и малых некоммерческих организаций и даже частных лиц. В октябре 2013 года группа Slavik’а приступила к развертыванию вредоносного ПО, известного как CryptoLocker, специализирующегося на вымогательстве, которое шифрует файлы на зараженной машине и требует от владельца небольшой платы, от 300 до 500 долларов США, чтобы разблокировать их. Это быстро стало любимым инструментом кибер-шайки, отчасти потому, что оно помогло превратить мертвый груз в прибыль. Оказалось, что проблема с построением массивного ботнета, ориентированного на финансовые мошенничества высокого уровня, заключается в том, что большинство зомби-компьютеров не подключены к богатым корпоративным аккаунтам; у Slavik’а сотоварищи оказались в руках десятки тысяч по большей части бездействующих зомби-машин. Хотя вымогательство не приносило огромных сумм, с его помощью преступники монетизировали эти, в противном случае, бесполезные зараженные компьютеры.
Концепция вымогательства существует с 1990-х годов, но CryptoLocker принял ее в качестве основного направления. Попадая в машину жертвы под прикрытием непримечательного вложения электронной почты, вымогатели из Business Club использовали сильное шифрование и вынуждали жертв платить с помощью биткойнов. Это было жутко неудобно, но многим приходилось смириться. В Суонси, штат Массачусетс, полицейскому управлению пришлось скрипя зубами заплатить 750 долларов, чтобы вернуть работоспособность одного из своих компьютеров в ноябре 2013 года. «Вирус оказался настолько сложным, что приходилось покупать эти биткойны, о которых мы никогда не слышали», — заявил лейтенант полиции Суонси Грегори Райан в интервью местной газете.
По прошествии месяца компания Dell SecureWorks подсчитала, что за прошедший год CryptoLocker поразил более 250 000 компьютеров по всему миру. Один из исследователей насчитал 771 случай перевода средств в обмен на разблокировку, что позволило команде Slavik’а собрать в общей сложности 1,1 миллиона долларов. «Он был одним из первых, кто понял, что отчаявшись люди могут восстановить доступ к своим файлам», — говорит Бретт Стоун-Гросс, в то время исследователь Dell SecureWorks о Slavik’е. «Он не требовал уплаты непомерных сумм, но он зарабатал много денег и создал новый тип онлайн-преступлений».
По мере того, как сеть GameOver набирала силу, ее операторы продолжали находить новые потоки доходов — они начали сдавать в аренду свою сеть другим преступникам для доставки вредоносного ПО и спама или выполнять такие проекты типа клик-мошенничества, заставляя машины-зомби в целях получения дохода совершать переход по рекламным баннерам на поддельных веб-сайтах .
Каждая новая неделя несла банкам, компаниям и физическим лицам новые убытки, связанные с GameOver. Для бизнеса эти кражи легко могли уничтожить годовую прибыль или чего похуже. Внутри страны разнообразие жертв варьировалось от регионального банка в Северной Флориде до индейского племени в штате Вашингтон. Поскольку GameOver по большей части эксплуатировал частный сектор, он требовал все больших усилий в деле частной кибербезопасности. Суммы расходов были ошеломляющими. «Не думаю, что кто-то до конца понимает, что кража в 5 миллионов долларов затмевает сотни мелких краж», — объясняет Майкл Санди, эксперт по вопросам безопасности голландской компании Fox-IT. «Когда банк испытывает массовую атаку на 100 транзакций в неделю, вам плевать на конкретных вредоносные программы и отдельные атаки. Нужно просто остановить утечку».
Многие пытались. С 2011 по 2013 годы исследователи кибербезопасности и различные фирмы предприняли три попытки победить GameOver Zeus. Три исследователя европейской безопасности объединились с целью совершить первую атаку весной 2012 года. Slavik легко отразил нападение. Затем в марте 2012 года подразделение Microsoft по борьбе с цифровыми преступлениями подало гражданские судебные иски против сети, понадеявшись на рейды маршалов США в центрах обработки данных в штатах Иллинойс и Пенсильвания, где размещались командные серверы Zeus, и судебные иски против 39 лиц, подозреваемых в причастности к сетям Zeus. (Slavik был первым в списке.) Но план Microsoft не смог подавить GameOver. Вместо этого он просто уведомил Slavik’a о том, что следователи в курсе его сети, что просто подстегнуло его усовершенствовать свою тактику.
5. АТАКА
Ботнет-бойцы — небольшая амбициозная группа инженеров и исследователей в области безопасности — самопровозглашенные «санитары интернета», цель которых бесперебойная работа онлайн сетей. Член группы Тильманн Вернер — высокий долговязый немец, исследователь компании CrowdStrike — стал известен благодаря своему таланту и энтузиазму в работе. В феврале 2013 года он захватил контроль над ботнетом Kelihos, печально известной сетью вредоносных программ, построенной на спаме Viagra, представленная во время презентации на крупнейшей конференции индустрии кибербезопасности. Но Kelihos это не Zeus. Вернер наблюдал за GameOver с момента его создания, поражаясь его силе и стойкости.
В 2012 году он связался с Stone-Gross, недавно окончившим школу и живущим в Калифорнии, и несколькими другими исследователями, чтобы составить план атаки на GameOver. Работая на двух континентах в основном в свободное время, мужчины замышляли атаку через онлайн-чат. Они внимательно изучали предыдущие попытки Европы, анализируя их ошибки, и потратили год, готовясь к наступлению.
В январе 2013 года они были готовы. Они даже запаслись пиццей, предполагая, что им предстоит долгая асада сети Slavik’a. («Когда вы идете против ботнета», — говорит Вернер, — «у вас всего один шанс. Вам либо удастся им воспользоваться, либо — нет»). Их план состоял в том, чтобы захватить одноранговую сеть GameOver, централизовать ее, а затем перенаправить трафик на новый сервер под своим контролем — процесс, известный как «синкхоллинг». Поступая таким образом, они надеялись разорвать связь ботнета со Slavik’ом. И вначале все шло хорошо. Slavik не обнаружил признаков сопротивления, и Вернер и Стоун-Гросс наблюдали, как с каждым часом все больше и больше зараженных компьютеров подключается к организованной ими «дыре».
На пике своей атаки исследователи контролировали 99{33d8302486bd10b0fde64d2037652320e6f176a736d71849c0427b0d7398501a} сети Slavik, но они упустили из виду критический источник устойчивости в структуре GameOver: небольшое количество зараженных компьютеров все еще тайно общалось с командным сервером Slavik’a. «Мы упустили, что есть второй уровень контроля», — говорит Стоун-Гросс. Со второй недели Славик смог запустить обновление всей своей сети и подтвердить свою власть. Исследователи с ужасом наблюдали, как новая версия GameOver Zeus распространялась через Интернет, и сеть одноранговой сети Slavik’a начала восстанавливаться. «Мы сразу увидели, что произошло, мы полностью пренебрегли этим другим каналом связи, — говорит Вернер.
Уловка исследователей, на создание которой было потрачено девять месяцев — провалилась. Slavik победил. В онлайн-чате с польской командой безопасности он троллил их говоря, что все усилия по захвату его сети пошли прахом. «Думаю, он был уверен, что его ботнет невозможно уничтожить», — говорит Вернер. Удрученные, оба исследователя с нетерпением ждали повторения. Но им нужна была помощь — из Питтсбурга.
6. ПИТСБУРГ
За последнее десять лет местное отделение Питтсбургского отделения ФБР стало инициатором крупнейших обвинительных актов в киберпреступности, во многом благодаря главе местной кибергруппы, бывшего продавца мебели по имени Дж. Кейт Мураски.
Активный и общительный агент, выросший на окраине Питтсбурга, Муларский стал довольно знаменит в кругах кибербезопасности. Он присоединился к ФБР в конце 90-х годов и провел свои первые семь лет в бюро по делам шпионажа и терроризма в Вашингтоне, округ Колумбия. Воспользовавшись шансом вернуться домой в Питтсбург, он присоединился к новой местной кибер-инициативе в 2005 году, несмотря на то, что сам мало что знал о компьютерах. Муларски тренировался на работе во время двухлетнего тайного расследования, направленного против воров, зсевших в глубине онлайн-форума DarkMarket. Под ником Master Splyntr — навеянного героем мультфильма про черепашек-ниндзя — Муларски сумел стать администратором DarkMarket, став во главе растущего преступного онлайн-сообщества. В своем облике он даже побеседовал в сети со Slavik’ом и рассмотрел раннюю версию вредоносной программы Zeus. Его доступ к DarkMarket в конечном итоге помог следователям арестовать 60 человек на трех континентах.
В последующие годы глава офиса в Питтсбурге решил активно заняться борьбой с киберпреступностью, понимая ее растущую угрозу. К 2014 году агенты ФБР в отряде Муларски вместе с другим отрядом расследовали некоторые из самых крупных дел министерства юстиции. Два агента Муларски, Эллиот Петерсон и Стивен Дж. Лампо, преследовали злоумышленников, стоящих за GameOver Zeus, в то время как их коллеги расследовалиали дело, в котором в конечном итоге будут предъявлены обвинения пяти китайским хакерам, проникших в компьютерные системы в Westinghouse, US Steel и других компаний в интересах китайской промышленности.
Дело «GameOver» ФБР расследовало около года, когда Вернер и Стоун-Гросс предложили объединить усилия с командой Питтсбурга, чтобы уничтожить ботнет Slavik’a. Если бы они обратились в любое другое правоохранительное учреждение, ответ мог бы быть иным. Сотрудничество правительства с промышленностью по-прежнему является относительно редким явлением. Стиль федералов в расследованиях кибер-преступлений обычно сводился к обману лидеров отрасли, чтобы не делится с ними информацией. Но команда в Питтсбурге была не обычной и оба исследователя были лучшими в своей области. «Мы рискнули», — говорит Муларский.
Обе стороны поняли, что для борьбы с ботнетом им необходимо работать по трем фронтам одновременно. Во-первых, им нужно было сразу определиться, кто руководил GameOver — следователи называют это «атрибуцией», и начать его преследование. Даже после кражи миллионов долларов, ни ФБР, ни индустрия безопасности не имели ничего кроме единственного имени участника Бизнес-клуба. Во-вторых, им необходимо было уничтожить цифровую инфраструктуру самого GameOver. Именно здесь на сцену вышли Вернер и Стоун-Гросс. В-третьих, им нужно было отключить физическую инфраструктуру ботнета, собрав судебные приказы и заручившись поддержкой властей других стран, чтобы захватить его серверы по всему миру. Как только все это было сделано, понадобилась поддержка частного сектора, готового к обновлениям программного обеспечения и исправлениям безопасности, чтобы помочь вылечить зараженные компьютеры пока хорошие парни контролируют ботнет. Отсутствие какого-либо из этих ходов попытка победить GameOver Zeus, с большой вероятностью, потерпит неудачу, как и все предыдущие.
При этом группа Муралски начала организовывать международное партнерство, привлекая Национальное агентство по преступности Великобритании, чиновников из Швейцарии, Нидерландов, Украины, Люксембурга и еще десятка других стран, а также отраслевых экспертов Microsoft, CrowdStrike, McAfee, Dell SecureWorks и других компаний.
Во-первых, чтобы помочь установить личность Slavik’a и получить информацию о Бизнес-клубе, ФБР объединилось с Fox-IT, голландской компанией, известной своим опытом в кибер-судебной экспертизе. Голландские исследователи приступили к работе, прослеживая старые имена пользователей и адреса электронной почты, связанные с сообществом Slavik’a, чтобы собрать воедино информацию о том, как действовала группа.
Оказалось, что «Бизнес клуб» был свободной конфедерацией, состоящей из около 50 преступников, каждый из которых заплатил начальную плату за доступ к расширенным панелям управления GameOver. Сеть была запущена через два защищенных паролем британских веб-сайта Visitcoastweekend.com и Work.businessclub.so, в которых содержались подробное описание, часто задаваемые вопросы и система «тикетов» для решения технических вопросов. Когда следователи получили законное разрешение проникнуть на сервер Business Club, они обнаружили очень подробный журнал, отслеживающий различные данные группы. «Все источало профессионализм, — объясняет Майкл Сэнди из Fox-IT. Когда дело дошло до точного определения времени транзакций между финансовыми учреждениями, он сказал: «Похоже, они знали это лучше, чем банки».
7. ШПИОНСКОЕ ПО
Спустя нескольких месяцев, исследователи из Fox-IT получили наводку от информатора об адресе электронной почты, на который следует обратить внимание. Подобные советы специалисты получали регулярно. «Подобного мусора у нас было хоть отбавляй», — говорит Муларский. Но эта оказалась полезнее остальных. Команде удалось отследить по адресу электронной почты британский сервер, который Славик использовал для хостинга веб-сайтов Бизнес Клуба. Приложив усилия и вооружившись судебными постановления удалось в конечном итоге истребовать у владельцев российских социальных медиа сайтов реальное имя владельца адреса электронной почты. Им оказался Евгений Михайлович Богачев. Поначалу знание этого имени не давало группе ничего существенного. И лишь по прошествии нескольких недель удалось установить, что это и есть искомый создатель Zeus и Бизнес Клуба.
Slavik оказался 30-летним жителем Анапы, российского курортного города на берегу Черного моря, с неплохим достатком. На своих фото в сети он катался на катере с женой и маленькой дочерью. На другой фотографии Богачев позировал в пижаме с леопардовым принтом, в очках и котом на руках. Стало понятно, что первую версию Zeus Богачев создал, когда ему едва исполнилось 22 года.
Но самое удивительное было не это. Исследователей озадачил тот факт, что GameOver регулярно использовался для поиска в десятках тысяч зараженных компьютеров бот-сети адресов электронной почты, принадлежащих сотрудникам грузинской разведки, руководителей элитных подразделений турецкой полиции и секретных украинских документов. В этом же ряду стоял поиск секретных материалов, связанных с сирийским конфликтом и российским оружием. Вывод напрашивался сам собой. «Эти команда шпионов,» говорит Sandee.
GameOver — это не просто сложное вредоносное ПО, а и тонкий инструмент для сбора информации. И насколько понимали следователи, Богачев был единственным членом Бизнес-клуба, который знал об этой особенности ботнета. Казалось, он ведет тайную операцию прямо под носом у самых продуктивных в мире банковских грабителей. Команда ФБР и Fox-IT не смогли найти конкретные доказательства связи между Богачевыми и российским правительством, но задания на объекты поиска, во всей видимости, Slavik получал со стороны. Складывалось впечатление, что Богачев был агентом русской разведки.
В марте 2014 года следователи могли даже наблюдать, как международный кризис нашел свое отражение внутри виртуального мира богачевского ботнета. Спустя несколько недель после Олимпийских игр в Сочи, российские войска появились в украинском Крыму и оказали влияние на дестабилизацию восточной границы страны. Одновременно с этим, Богачев переориентировал часть своего ботнета на поиска политически важной информации на зараженных украинских компьютерах, которая могла бы помочь русской разведке предвидеть следующие шаги своих противников.
Команда выдвинула свою гипотезу того, как Богачев оказался вовлечен в шпионские игры. Появление новой шпионской функции в системе помогло объяснить не только, почему Богачеву удавалось вести безнаказанно столь крупную преступную деятельность, но пролить свет на некоторые моменты в жизни Zeus. Система, которой пользовался Slavik в разведовательных целях никак себя не проявляла до 2010 года, когда появилось его сообщение о «выходе на пенсию», а доступ к вирусу стал эксклюзивным. Возможно, Slavik в это время попал в поле зрения российских спецслужб, и в обмен на лицензию на совершение мошенничества (за пределами России, конечно) без риска быть арестованным государство попросило что-то взамен. Чтобы выполнять их задания с максимальной эффективностью и секретностью, Slavik установил жесткий контроль над своей преступной сетью.
Обнаружение вероятных разведывательных связей Богачева внесло некоторые сомнения в перспективы успешного исход операции по ликвидации GameOver, особенно если в перспективе пришлось бы привлечь к сотрудничеству российскую сторону. С этого момента следователи были готовы выдвинуть в суде обвинение против Богачева в создании и управлении GameOver Zeus. Американские прокуроры бросились издавать судебные приказы о закрытии сети. «В самом начале расследования нас было всего 9 человек, но и к концу следствия участников следственной группы было не больше 55», — говорит Майкл Комбер из прокурорского корпуса США в Питтсбурге. На протяжении нескольких месяцев, команда терпеливо работала с интернет-провайдерами для получения доступа к прокси-серверам GameOver, чтобы в нужный момент иметь возможность обрушить эти сервера и отключить контроль Slavik’a над ними. Между тем, Министерство национальной безопасности, Карнеги-Меллон, а также ряд антивирусных компаний были готовы помочь клиентам вернуть доступ к своим зараженным компьютерам. Еженедельные селекторные совещания координировали действия чиновников из Великобритании, США и других стран.
К концу весны 2014 года, когда пророссийский силы во всю воевали в Украине, силы под руководством американской стороны были готовы к атаке на GameOver. Они объединились с целью разрушить сеть и потратили больше года на скурпулезный реверс-инжиниринг вредоносных программ, тайное чтение журналов чата преступной группы, чтобы понять психологию группы, и отслеживание физической инфраструктуры серверов, что позволило сети захватить сеть по всему миру. «К этому моменту, эти исследователи знали вредоносную программу лучше, чем ее автор,» говорит Эллиот Петерсон, один из ведущих агентов ФБР по делу. Как вспоминает Муларски, команда все разделила на сегменты: «По закону мы можем сделать это. Чисто по-человечески мы можем сделать это. Технически мы можем сделать это». Взаимодействуя с более чем 70 интернет-провайдерами и десятка иностранных правоохранительных органов в Канаде, Великобритании, Японии и ИталииЯпонии в Италии, команда готовится нападение начнется в пятницу, 30 мая.
8. ЛИКВИДАЦИЯ
За неделю до атаки развернулась нешуточная борьба. Когда Вернер и Стоун-Гросс прибыли в Питтсбург, Петерсон привел их в свою квартиру, где жил со своей семьей. За обедом делали последние приготовления к предстоящей попытке ликвидировать сеть. Проделав большой путь, они все еще не были готовы. Оставшуюся половину недели они потратили на то, чтобы дописать необходимую программу, собрать необходимые судебные решения, и оббежать два десятка члена правительства, представителя компаний и консультантов, помогающих в подготовке к захвату GameOver Zeus. Белый дом был проинформирован о плане и ждал результатов. Но казалось, что план трещит по швам.
Например, команде в течение нескольких месяцев было известно, что ботнет GameOver контролировался сервером в Канаде. Но затем, всего за несколько дней до нападения, они обнаружили, что существует второй командный сервер в Украине. И это в корне меняет дело. «Если вам было не известно о второй платформе» говорит Вернер, «Откуда у вас возьмется уверенность, что нет и третьей?»
В четверг, Стоун-Гросс подробно обсудил с провайдерами все процедуры, которые необходимы для начала атаки. В последнюю минуту, один ключевой поставщик услуг отказался, опасаясь, что он обрушит на себя гнев Slavik’a. После этого в пятницу утром, Вернер и Стоун-Гросс прибыли в свое офисное здание на берегу реки Мононгиела и обнаружили, что один из партнеров в рамках операции, McAfee, преждевременно опубликовал сообщение в блоге о готовящейся атаке на ботнета под названием «‘Game Over’ для Zeus и Cryptolocker».
После шквала звонков пост был снесен, и атака в конце концов началась. Канадские и украинские власти закрыли командные сервера GameOver, и Вернер со Стоун-Гроссом начали перенаправлять зомби-компьютеры в тщательно подготовленную сетевую дыру, в которую будет сливаться весь зомби-трафик, блокируя доступ Бизнеса Клуба в свои собственные системы. В течение нескольких часов атака ни к чему не приводила. Исследователи пытались выяснить, где что за ошибки находятся в их коде.
К 13-00 к их воронке подключилось лишь около сотни зараженных компьютеров, бесконечно малого процента от всей бот-сети, которая разрослась на момент атаки до полумиллиона машин. Шеренга чиновников стояла за Вернером и Стоун-Гросс в конференц-зале и в буквальном смысле заглядывала через плечо, наблюдая как два инженера проводили отладку своего кода. «Не сочтите, что мы на вас давим», — обратился к ним Муларский в какой-то момент, — «но было бы здорово, если бы вы могли заставить все это работать.»
Наконец, когда в Питтсбурге уже был вечер, поток слива в их сетевую дыру увеличился. С другой стороны мира, вышел в онлайн Богачев. Атака прервала его выходные. Возможно, он сначала не придал этому значения, думая, что как и раньше легко переживет эту попытка захвата контроля над его ботнетом. «Тогда он еще не только раскачивался, потому что не знал, что нам удалось сделать», — вспоминает Петерсон. Той ночью Богачев как обычно, готовился к бою за контроль над своей сетью, тестировал, перенаправлял трафик на новые сервера и пытался расшифровать метод атаки команды Питсбурга. «Это рукопашный бой в киберпространстве», — вспоминает юрист Дэвид Хиктон. «Зрелище было захватывающим.»
Команда сумела захватить контроль над каналами связи Богачева за его спиной и нокаутировать его турецкий прокси-сервер. Затем они наблюдали, как он отчаянно пытался вернуться в Интернет с помощью анонимайзера Tor, чтобы вернуть утерянный доступ к сети. Наконец, после нескольких часов боя, Slavik затих. Атака, оказалась, масштабнее, чем он ожидал. Команда в Питтсбурге проработала всю ночь. «Должно быть, он понял, что за этим стояли правоохранительные органы, а не частный исследователь безопасности», — говорит Стоун-Гросс.
К воскресенье вечером, спустя 60 часов, команда Питтсбурга знала о своей победе. В понедельник, 2 июня, Министерство юстиции, ФБР и объявили о ликвидации ботнета и распечатали 14-страничное обвинительное заключение против Богачева.
В течение ближайших недель, между Slavik’ом и исследователями произошло еще несколько мелких стычек, но в конечном итоге преимущество было на стороне дуэта. Удивительно, но по прошествии более двух лет процесс уничтожения ботнета не был до конца завершен: около 5000 компьютеров по всему миру по-прежнему заражены Zeus, а карстовый сервер, который поглощая трафик от этих зараженных компьютеров, все еще работает
Примерно через год после нападения, так называемые мошенничества счета-поглощения все еще случались, но исчезли в США. Следователи долгое время полагали, что за преступными атаками 2012-2014 годов. Но почти все кражи совершила небольшая группа преступников, входивших в так называемый Бизнес-клуб , «Вас пугают тем, что они вездесущи», — объясняет Петерсон. — «а на самом деле это очень маленькая сеть, и ее гораздо легче разрушить, чем вы думаете.»
