Глава 7

Планета хакеров

Пока в США шла золотая лихорадка доткомов, российские хакеры — чаще всего еще подростки — запустили свою собственную: воровство кредиток американских торговых сетей и данных банков и интернет-магазинов многим из них начало приносить миллионы долларов. Если в США человек с хорошими программистскими навыками мог и без хакинга пойти получать десятки тысяч долларов, то в бывшем СССР! где люди зачастую зарабатывали несколько сотен долларов в год, искушение было слишком велико.

Первым среди российских хакеров получил международную славу петербуржец Владимир Левин, который в середине 1990-х украл из американского банка десятки миллионов долларов. Его довольно быстро вычислили, а курьеров, которые обналичивали деньги, арестовали. Левина экстрадировали в США, где он провел 36 месяцев в тюрьме — смешной срок по сравнению с теми, что хакеры получают сейчас. Вскоре по мотивам истории Левина сняли несколько эпизодов для российских сериалов про бандитов, а сам хакер, вернувшись в Россию, исчез — уже 20 лет никто не знает, где он и чем занимается.

В индустрию взломы начали превращаться в начале 2000-х — с появлением специализированных форумов, которые постепенно эволюционировали фактически в организованные группировки. «Раньше хакерские группы организовывались скорее как клубы по интересам. Люди занимались примерно одним и тем же и просто обменивались опытом, объединяли усилия в решении каких-либо задач, — рассказывал в те годы Андрей Споров, он же хакер SpORaw. — Сейчас же организация групп часто строится для работы по конкретным делам. Если после выполнения нескольких совместных дел группа оказывается состоявшейся, она может существовать достаточно долго и заниматься своей деятельностью безнаказанно, потому что внешние контакты по делам ограничены: все специалисты есть внутри группы. Остались и группы, построенные по старым принципам, но там „воспитываются" новички, которые, набравшись опыта на работе из интереса, начинают задумываться о превращении своих способностей в материальные блага».

Споров говорил, что российский интернет начала 2000-х чем-то напоминает российские улицы 1990-х. «Сейчас идет первичное накопление капиталов у людей, которые, вероятно, никогда не имели бы такой возможности, работая легально, — объяснял он. — Интеллектуальная преступность гораздо неуловимее ее обыденного собрата. В дальнейшем накопленные средства будут инвестированы во вполне обычные коммерческие проекты, некоторые из них существуют уже сейчас».

Главным сообществом киберпреступников в мире в начале 2000-х был российский форум Carderplanet — его еще называли «Планетой»: как объяснял мне один из хакеров, многим сайт и правда заменял реальный мир.

Начиналось все с сайта carder.ru, который в начале 2000 года создал человек, называвший себя Script. Из-за нескольких публикаций в журнале «Хакер» посещаемость вскоре выросла до 600 посетителей в день — тогда это было много. Вскоре Script закрыл форум и создал Carderplanet, но задачи двух ресурсов совпадали: там торговали украденными кредитками — «картоном», как их называли на форуме. На сайте зарегистрировались около 1000 человек. В 2001 году Script сам присвоил себе на форуме статус «Вора в законе»: его кумиром был Саша Белов из недавно вышедшего сериала «Бригада», вымышленный криминальный авторитет, которого играл Сергей Безруков.

Вскоре «Планета» стала основным местом общения всего русскоязычного киберандеграунда: кроме кардеров там общались спамеры, создатели троянов , исследователи эксплойтов , взломщики аккаунтов на PayPal и люди, специализировавшиеся на подделке документов. Хакеры обменивались новостями, инструкциями по взломам, объясняли друг другу, как обезопасить себя от слежки. Многим новичкам, оказавшимся на форуме, казалось, что у них появилась возможность быстро начать зарабатывать большие деньги.

Подражая мафии, участники форума называли друг друга «семьей» и строили внутреннюю иерархию по принципам клана; у Script было звание не только «вора в законе», но и «крестного отца». Один из руководителей форума описывал эту иерархию так:

Sgarrista — Зарегистрированный пользователь.

Don — член семьи.

Capo Bastone — друг семьи и «правая рука» Крестного отца.

Gabellotto — верховный судья. Глава службы безопасности.

Consigliere — советник семьи по различным важным вопросам.

Capo di Capi — мемберы, нэ которых возложена миссия защиты и помощи семье.

Capo — надежные люди, к которым присматривается администрация, либо люди, не участвующие в жизни форума.

Giovane d'Honore — модератор форума.

Ripper — кидала.

Sсum of Society — отброс общества. Чаще всего этот статус присваивался за оскорбления в адрес модераторов или мемберов.

Дятел — человек, постящий одинаковые объявления в разные разделы, задающий тупые вопросы, мешающий общению остальных мемберов.

«Хакеры взламывали защиту американских шопов и систем электронных переводов и собирали данные о кредитках их клиентов, — рассказывал участник Carderplanet. — Все это добро передавалось кардерам, которые по своим каналам обналичивали деньги. После того как информация просочилась в прессу и журналисты рассказали миру о новом явлении, возможность быстро обогатиться привлекла толпы студентов. Большинство американских магазинов еще не имели опыта общения с кардерами, поэтому развести их не представляло большого труда даже для новичков. Падкий до халявы, народ заказывал часто, много и все подряд».

Большинство постоянных жителей «Планеты» зарабатывали около 5000 долларов в месяц; доход основателя и других ветеранов сайта мог доходить до 100 тысяч. Эти деньги вкладывали в недвижимость, на них открывали шиномонтажи, цветочные магазины.

Script объяснял , что занимается кардингом в том числе для развлечения: «У человека, идущего на риск, выделяется так называемый гормон счастья. И вот этот гормон, помноженный на количество шелестящих бумажек, и играет основную решающую роль, заставляющую человека продолжать заниматься этим не совсем честным промыслом. Заниматься этим не стыдно. Стыдно пусть будет нашему правительству, что подростки уже в столь раннем возрасте превращаются в расхитителей». При этом Script, видимо, уже тогда сотрудничал с украинскими спецслужбами. Участники форума вспоминали, что он упоминал о том, что «СБУ (Служба безопасности Украины, украинский аналог ФСБ. — Прим. Авт.) его любит».

В 2002 году Carderplanet провел в Одессе кардерскую конференцию. На нее приехали около 20 человек. Они гуляли по городу, ходили в сауну, ели в ресторанах и обсуждали организационные вопросы. Домой большинство участников конференции вернулись в полном восторге: они впервые познакомились с теми, с кем годами общались только онлайн.

Тогда же на форуме появился пользователь под именем Воа («Удав» по-английски). Он быстро стал звездой: его статьи про хакинг и кардинг в то же время как будто рассказывали вообще о жизни. Главным хитом стала статья про этикет: ее Удав написал после того, как на форуме начали сотнями регистрироваться подростки, прочитавшие про «Планету» в журнале «Хакер» (некоторые ветераны Carderplanet просили Script поменьше его рекламировать, но тот отвечал, что «денег в интернете хватит на всех», а «органам мы не нужны»). Новички писали личные сообщения завсегдатаям форума и просили научить их взломам. Удав решил сначала научить их культуре общения.

Он писал так:

я хочу работать в спокойной обстановке, не отвлекаясь на разную ерунду, особенно на откровенный, уникальный дебилизм. Итак: Мне очень нравится приветствие *здравствуй* или *привет*. *Дарова* и подобное я воспринимаю нормально, если это исходит от тех, с кем я давно и плодотворно сотрудничаю. Всех остальных прошу воздержаться от такой фамильярности. Я не терплю обращение *братэло*, *перец*, *кардерюга*.

Четыре утра, Вы дома за компом или за бабой. Или перечитываете «Войну и мир» Толстого — Вам это в кайф в 4 утра. Заняты, в общем. Настойчивый звонок в дверь. Вопрос: Вы сразу распахиваете дверь нараспашку, не смотря в глазок или на монитор камеры, и с улыбкой приглашаете незнакомого бомжа зайти? Наливаете ему пива, расспрашиваете за жизнь, выслушиваете его просьбы, идиллия, в общем? Или все же спросите (хотя бы): Кто там? Спросите, видимо, для начала культурно какая это сука в 4 утра, бля, звонит в дверь, когда Вы никого, его мать, не ждете, и вам и так заебись? Ну дак какого же хера пачками идут запросы на авторизацию на Асю [ICQ] без ответа и привета. Там рамочка есть — «reason of authorization request», или что-то в этом роде. Совсем Не трудно наклацать строчку, типа, я такой-то, по такому то вопросу. Скажи в глазок имя свое и чего пришел, другими словами.

Впрочем, по основному профилю форума Удав тоже кое-что понимал. «Схемы воровства из американских банков начались с Удава, — рассказывал позже один из кардеров. — Этот мужик-энтузиаст устраивал целые симпозиумы в отелях — учил всех воровать с американских кредиток. На Carderplanet многие делились такими секретами. Русский хакер — человек не жадный, это ведь не какой-нибудь кибергопник, а интеллигент с духовными скрепами. Из России можно грабить Америку почти в открытую, продолжая традиции холодной войны и подкармливая ФСБ. В 2002 году было столько дыр в онлайн-платежах, что через них можно было выносить вагонами».

Были у Удава проекты и за пределами Carderplanet. Сайт его «Фабрики», boafactory.net, предлагал всем желающим сделать за три дня российское гражданство, получить диплом об окончании престижного вуза, визу или водительские права. Здесь подделывали практически любые документы так, чтобы их почти невозможно было отличить от настоящих. На новых загранпаспортах даже проставлялись штампы о въезде и выезде из нейтральных стран, чтобы паспорт не выглядел новым. Кроме того, Boafactory помогала сделать фальшивые кредитки. Говорили , что к услугам «конторы» прибегали тысячи людей.

К 2004 году кардинг в исполнении русскоязычных пользователей стал настолько массовым, что англоязычные медиа заговорили о «холодной кибервойне». Тем летом Script заявил, что уходит из Carderplanet, а вскоре один из администраторов форума опубликовал пост, в котором сообщил, что «Планету» «пора закрывать», поскольку она находится «под колпаком всевозможных спецслужб — как русских, так и зарубежных»:

Работники ФБР ходят в компанию aol, как к себе домой, беря оттуда логи от icq и распечатку из хистори. Сотрудники ФСБ предлагают деньги хостинг-компаниям за логи этого форума. Какими бы мы все умными ни были, сколько прокси мы бы ни юзали, в каком бы темном уголке земли ни располагался ВПН. через который мы ходим — все мы люди и всем нам присущ человеческий фактор. Мы прекрасно понимаем, что многие потеряют работу, многие просто не смогут больше зайти и пообщаться с единомышленниками, но, к сожалению, мы не собираемся подставлять свой зад для чьих-то заработков.

На сбор вещей и обмен контактами пользователям дали две недели. Один из участников Carderplanet на прощание написал стихотворение по мотивам песни рэп-группы «Многоточие»: «Щемит в душе тоска, и темный конопляный дым въедается в глаза, как будто слезы пытаясь выжать. Я помню, как всегда, заходя сюда и видя черно-синий цвет, я заново будто рождался».

Несмотря на закрытие форума, вскоре его участников начали задерживать. Через год очередь дошла и до Script — им оказался 22-летний Дмитрий Голубов. В момент задержания он скрывался в доме своей бабушки в Одессе. Голубова обвинили в создании международной организованной преступной группы, которая похитила более 11 миллионов долларов. Ему грозило до 12 лет лишения свободы, но в итоге его освободили из-под ареста еще до суда — после того как за него лично поручились двое народных депутатов. «Парня просто угробят, — заявил один из них. — А ведь он молодой талантливый человек. Такие ребята — это сливки нашей молодежи». На одном из хакерских форумов освобождение Голубова прокомментировали так: «Как по мне так он красавец! Спи…ить столько лаве и выйти сухим из воды такое не каждый может!»

Голубов так и не предстал перед судом. Вскоре он и сам стал политиком — и даже создал «Интернет-партию Украины». На последних президентских выборах его партия пыталась выставить своего кандидата — Дарта Алексеевича Вейдера, использовавшего образ злодея из «Звездных войн». В 2018 году Голубов стал биткоиновым миллионером.

Судьбы его товарищей по Carderplanet сложились по-разному. Кое-кто, решив, что денег уже хватит, просто перестал воровать и уехал из России. Один из таких людей рассказывал мне, что в лучшие времена получал от кардерской деятельности по 50 тысяч долларов в месяц, но, заработав на квартиры, дома и спорткары, решил успокоиться и осесть в одной из азиатских стран. Другие кардеры создавали новые площадки, следить за которыми было уже сложнее; по уровню влияния на киберподполье с Carderplanet можно сравнить разве что Russian Business Network, расцвет которой пришелся на 2006–2007 годы. Некоторые бывшие участники Carderplanet продолжают заниматься тем же промыслом и сейчас — и как будто совсем не скрываются, например, создают открытые сообщества в социальных сетях, где ищут себе подручных и выкладывают видео о том, как снимают украденные деньги в банкоматах.

Хуже всего пришлось самым успешным соратникам Script. Мировые спецслужбы фактически объявили на них охоту — и начали отлавливать по одному.

 

Глава 8

Диссидент из Крыма

Кусок сала. Две банки соленых огурцов. Буханка черного хлеба. Чемодан с парой кроссовок и джинсами. Сборник рассказов Хулио Кортасара. Кассета с альбомом группы «Мышеловка».

Все это нашли и изъяли при аресте у уроженца Крыма Романа Веги — он же Степаненко, он же Воа, он же Удав. Его арестовали в феврале 2003 года на Кипре. По словам другого бывшего участника «Планеты», у Веги нашли еще и около 200 фотографий основателей и участников Carderplanet он постоянно делал им поддельные паспорта.

Роман Вега окончил математический факультет Симферопольского госуниверситета, после чего работал специалистом по системам комплексной безопасности и связи. Увлекался альпинизмом, спелеологией, коротковолновыми радиостанциями, а также противозаконными авантюрами, о которых до сих пор известно не так много (и в основном — с его слов). Хакер якобы продавал не только документы, но и оружие. В 1993 году его арестовывали в Египте, а в 1999-м — в Майами. «ФБР пыталась состряпать дело, что якобы одна из моих тогдашних майамских компаний была намерена поставлять оружие и спецтехнику баскским боевикам в испанский Сан-Себастьян, — писал Вега в своем блоге. — Кроме того, находившаяся в Кронштадте старая дизельная подлодка, которую хотели продать на металлолом, в бумагах превратилась в чуть ли не ядерную подводную лодку ВМФ России для перевозки кокаина в индустриальных масштабах из Колумбии в Штаты». Далее Вега утверждал, что дело против него развалилось, «что не помешало Вашингтону навесить на меня 250 миллионов долларов и указать в обвинении, что я якобы был организатором и руководителем нескольких хакерски-кардерских международных группировок».

В кипрской тюрьме Вега просидел полтора года, после чего его экстрадировали в США, где около десяти лет перебрасывали из одного города в другой, не предъявляя обвинений, — он побывал в Сан-Франциско, Оклахоме, Атланте, Нью-Йорке и Санта-Барбаре. Приговор — 18 лет тюрьмы за массовые взломы и объединение сотен хакеров — он получил только в 2013 году, спустя десять лет после ареста.

В США Вега начал вести подробный дневник. Он пишет от руки и передает записи друзьям, которые публикуют их на сайте romanvega.ru; как и когда-то на Carderplanet, он пишет много — и довольно талантливо. Из дневников можно выяснить, что в американских тюрьмах он успел поработать плотником и столяром в мебельном цехе, а также закончил заочно техникум в Миннесоте. Час в неделю Вега проводит уроки японского; играет на ударных и два раза в неделю ходит на уроки фортепиано; учит французский и испанский; раз в несколько дней бегает босиком во внутреннем дворе и в это время считает бабочек — как-то за 21 километр пробега насчитал их семь. В камере разрешают держать не больше пяти книг, а у него их около полутора сотен, поэтому над ним всегда висит угроза попасть в карцер. Последние несколько лет Вега пытается подготовить документы, чтобы его перевели досиживать срок в Россию, частью которой теперь является его родной Крым.

Некоторые свои заметки Вега называет «хроникой текущих событий», видимо, имея в виду диссидентский правозащитный бюллетень, выходивший в СССР с 1968 по 1984 годы. Иногда он отвечает на вопросы посетителей сайта. Например, когда его спросили, изменил ли бы он что-то в своей жизни, если б знал, что попадет на 20 лет в тюрьму, он написал, что «страшнее тюрьмы физической — тюрьма внутренняя, тюрьма души». «Что лучше: жить в полную силу, пробуя себя в том и этом, смело идя навстречу новому опыту, навстречу опасностям и приключениям, не боясь трудностей, преодолевая их на грани своих возможностей, проходя через испытания, через дела, города и страны, через победы и поражения, через горести и радости; или же, таскаясь всю жизнь на какую-то опостылевшую работу, влачить убогое существование, с единственной мыслью „как бы чего не случилось?", как бы не рухнул жалкий мирок боящейся жить души? Что лучше? Каждому свое, — писал Вега. — Помните у О'Генри? „Дело не в дорогах, которые мы выбираем, а в том, что внутри нас заставляет выбирать наши дороги"».

В феврале 2016 года в его тюрьме появился новый заключенный по имени Михаил Горбачев. Вега заинтересовался — выяснилось, что так зовут одного из афроамериканцев: тот рассказал, что мама придумала ему имя, когда, сидя с косяком перед телевизором в 1989 году, увидела на экране советского генсека, рассказывающего про перестройку. Чернокожих, сидящих в тюрьмах, Вега вообще недолюбливает: «Если их всех таких здесь выпустить на свободу, то в стране неизбежно и быстро наступит полный и уже окончательный хаос, резня и разруха, а нормальным людям (кто выживет) придется валить со всех ног». Бывший хакер Дмитрий Насковец рассказывал , что Вега — патриот России и всегда считал США врагами, которых «надо душить».

Американская тюремная система — любимая тема Веги: он знает, что в США больше заключенных, чем в любой другой стране мира, и охотно цитирует статьи Адама Гопника из журнала The New Yorker, написанные по этому поводу. Когда в 2011 году в тюрьме Вега получил письмо от избирательного штаба Барака Обамы с просьбой поддержать его кампанию по перевыборам (это обычная фандрайзинговая практика в США), хакер ответил гневным письмом на шести страницах — о рабском труде и несправедливости:

Соединенные Штаты Америки отобрали у меня свободу, солнце (только и видим его раз в несколько месяцев из окна тюремного автобуса по дороге на суд) <…> правосудие; отобрали и возможность видеться с матерью — ей все время отказывает в визе ваше доблестное американское посольство.

Граница на замке. 70-летняя мать ну никак не может встретиться с сыном, которого десятилетие держат без приговора. Твоя страна забрала мое здоровье и даже мои зубы.

Еще Вега часто упоминает «Архипелаг ГУЛАГ» Солженицына, особенно когда рассказывает о бездоказательных, по его мнению, процессах против американских русских. О своем хакерском прошлом человек, когда-то называвший себя Удав, в дневниках почти не вспоминает.

 

Глава 9

Белорусский Али-Баба

В 2004 году белорус Сергей Павлович, бывший завсегдатай сайта Carderplanet, купил себе новый «мерседес» и повесил на него номер 999. Потом он отпраздновал день рождения DumpsMarket — своего кардерского сайта. Вечеринка на даче длилась четыре дня, и на нее приехали большинство хакеров СНГ «Алкоголь лился рекой, на столах танцевали шлюхи, пацаны нюхали кокаин», — вспоминал Павлович. Гости развлекались, стреляя из пистолетов по банкам; повара вылавливали прямо из озера карпов и осетров и жарили их на гриле.

Вскоре после этого Павлович отправился в гости к подруге. Вслед за ним туда приехали полицейские.

Пока они обыскивали дом, подруга сказала ему: «Зайчик, ты слышишь меня? Слушай. Что с тобой будет — неизвестно. Сейчас ты можешь сделать только одно: поесть. Потому что когда еще в следующий раз будет такая возможность». Она положила ему плов, шашлык, в карман куртки спрятала кусок хлеба. Его увезли в полицию, а через некоторое время белорусский суд приговорил Павловича к шести годам заключения за кардинг.

В тюрьме он написал мемуары «Как я украл миллион. Исповедь раскаявшегося кардера», в которых подробно вспоминал, почему и как стал хакером. В них много печали и много поэзии. «Моя жена, скорее всего, бросит меня. Дед, который меня воспитал, умрет [к тому времени, как я выйду из тюрьмы], — писал Павлович. — Мать состарится — больше от горя, чем от возраста. Для друзей стану призраком, с которым не о чем говорить».

Павлович уверен, что стал хакером из-за бедности и проблем в семье: «Больше всего киберпреступников [на территории бывшего СССР] — от безденежья. Мозгов у людей хватает, а реализовать себя смогли только в криминале». Компьютер у Павловича появился, когда ему было всего 12 лет, — большинство его друзей тогда еще играли в приставки вроде «Денди». Несмотря на это, большую часть свободного времени мальчик проводил в компьютерных клубах: домой ему не хотелось, потому что мать устраивала пьянки с незнакомыми мужчинами. Он играл в Counter-Strike и Heroes of Might and Magic 3 — и как-то раз в перерыве между битвами наткнулся на Carderplanet.

Оказавшись на сайте впервые, он почувствовал себя, как «Али-Баба, который наткнулся на пещеру доверху наполненную сокровищами». Подросток понял: он нашел легкий способ разбогатеть, не отходя от компьютера. Если за обычную работу он мог получить около 200 долларов в месяц, то выполнение инструкций кардеров сулило ему миллионы. Он зарегистрировался на форуме, а через некоторое время создал свой: DumpsMarket, рынок для перепродажи украденных кредитных карт, фальшивых документов. «Дампы» он получал от других хакеров — или продавал то, что украл сам.

И Павлович, и другие хакеры с «Планеты» предпочитали воровать только у иностранцев. «Жалко было [атаковать цели на территории бывшего СССР], — объяснял он. — В Америке все банковские счета застрахованы, а у нас владельца карты по милициям затаскают, все будут подозревать, что он сам у себя украл, а теперь еще и вернуть хочет. На наш век и буржуев хватит. Проявление патриотизма, что ли. Холодная война продолжается, сейчас ее новый виток, только в киберпространстве». Павлович признавался , что «никогда не смог бы украсть кошелек в общественном транспорте», но в интернете «не чувствуешь той грани, после которой начинается преступление». Еще он говорил, что «намного проще взломать выборную систему, чем банки». Деньги Павлович хранил наличными в чемодане, который он закопал в огороде у деда.

«Я полностью посвящал себя работе, выкуривал по две пачки крепких Marlboro, набрал десять лишних килограммов, а специфический характер моих занятий не предполагал активного поиска новых друзей, — рассказывал Павлович. — Неудивительно, что в ту пору я спал в основном с дорогими шлюхами — высокие доходы позволяли мне иметь лучших из них. С миллионами жизнь особеннее, ярче, счастливее. Я тратил деньги иногда бездарно, иногда очень умело. Самый красивый способ расстаться с деньгами — это, конечно, женщины. Но самый приятный и, наверное, правильный — стать Санта-Клаусом, спасти жизнь тяжело больному человеку, оплатив ему операцию. Маме — новую машину, племяннику — компьютер и скутер, маме герлфренд — оплатить путешествие к океану, туда же — маму своей бывшей герлфренд». Когда Павлович однажды решил лично познакомиться с другим хакером, они заодно пригласили на встречу двух порноактрис.

Однажды у него украли со счета в Webmoney около 10 тысяч долларов. Когда он узнал IP-адрес вора, он заплатил знакомым сотрудникам ФСБ около 300 долларов, чтобы узнать его домашний адрес. Оказалось, что там был прописан пенсионер с 12-летним внуком. Он оставил их в покое.

Из тюрьмы Павлович вышел досрочно — в 2007 году. Почти сразу же он вернулся к кардингу, продаже оружия и созданию порносайтов, а параллельно консультировал местные спецслужбы: те подозревали заместителя начальника отдела по борьбе с киберпреступлениями в том, что он сам стал кардером. После тюрьмы начал активно заниматься спортом и сидеть на сайте знакомств «Мамба», а также думал о том, чтобы начать выпускать собственную водку под брендами Hacker и Carder, решив, что водка — «идеальный маркетинговый продукт». Проект в итоге не состоялся: «Большая часть времени проходила в погоне за женщинами».

В 2009 году Павловича вновь задержали. На этот раз суд приговорил его к 10 годам тюрьмы за воровство данных и сбыт поддельных банковских карточек. В это же время его разыскивали американские спецслужбы: Павловича считали участником группировки, совершившей «крупнейшее хищение в истории США» — около 100 миллионов кредитных и дебетовых карт.

Америке Павловича не выдали. «Если бы его судили там, то ему вполне могло светить пожизненное заключение. Так что ему еще повезло, что арестовали его мы, а не они», — говорил в 2009 году начальник управления «К» КГБ Белоруссии Игорь Черненко. Во второй раз Павлович вышел из тюрьмы в 2015 году и запустил сайт Carding Pro, на котором выкладывает инструкции о взломах и другие статьи. Среди прочего Павлович опубликовал материал о своих бизнес-планах — он собирается производить водку под брендами «Кардер» и «Хакер».

 

Глава 10 Авантюрист с Tesla

В начале августа 2010 года Владислав Хорохорин сидел с коктейлем в зале ожидания аэропорта Ниццы. Он возвращался домой после отпуска в Монако. В этот момент в помещение забежали спецназовцы в масках и с автоматами.

Полиция в разных странах искала его еще с 2003 года, когда он называл себя BadB и был последним из руководителей форума Carderplanet, остававшимся на свободе.

Родители Хорохорина развелись, когда он был ребенком; детство он провел с матерью. Денег не хватало — в том числе на хороший интернет. Тогда Хорохорин взломал систему безопасности провайдера. Когда его вычислили, владельцы провайдера обратились не в полицию, а к бандитам, как это водилось в девяностых. Подросток отделался испугом, а вскоре они с матерью переехали в Израиль. Там он пошел служить в армию — и теперь взломал ее базу данных, чтобы чаще ходить в увольнение. Его снова вычислили — и снова без серьезных последствий. В те же годы Хорохорин познакомился с основателем Carderplanet, хакером Script, — попросил у того украденную карточку, чтобы заплатить за доступ к порносайту. Вскоре они оба были одними из самых успешных кардеров мира.

Знакомый Хорохорина называл его «беспринципным и азартным». «Он был авантюристом мирового масштаба. Его любимым выражением было „Красть — так миллион. Спать — так с королевой", — рассказывал его соратник по Carderplanet. — У него периодически совсем не было денег, потому что он постоянно их тратил на рулетку, выпивку, шлюх».

Он любил широкие жесты. Однажды Хорохорин и Павлович отправились в ночной клуб и «сняли» там всех стриптизерш. Хакер увлекался яхтами, дорогими автомобилями — незадолго до ареста он купил себе одну из первых Tesla. Деньги на это были: только взломав Royal Bank of Scotland, они с сообщниками заработали почти 10 миллионов долларов.

После того как Carderplanet закрыли, Хорохорин не прекратил заниматься кардингом, а вскоре начал использовать для продвижения своего бизнеса патриотические символы и образы Владимира Путина. В 2007 году на одном из хакерских форумов он разместил рекламное объявление, в котором рассказывал, что торгует базами украденных карт уже около восьми лет. Проиллюстрировано оно было рисунком, на котором Владимир Путин вручает медали хакерам; надпись гласила: «Мы ждем вас, чтобы бороться с империализмом США. Таким образом мы инвестируем средства США в российскую экономику и способствуем ее росту».

В 2007 году Хорохорин выпустил мультфильм в двух частях , призывавший хакеров атаковать США. В них хакер в ушанке и тельняшке передает данные другому киберпреступнику, а тот обналичивает кредитные карты. После этого у бывшего госсекретаря США Кондолизы Райс выпадают глаза, а Джордж Буш-младший стреляет себе в голову, поскольку из Белого дома исчезли все деньги. В конце ролика нарисованный Путин награждает хакеров медалями в Кремле.

После задержания в аэропорту Ниццы Хорохорин провел два года во французском СИЗО, ожидая экстрадиции в США. Параллельно он распродавал свои активы: дом в Израиле, стоивший около миллиона долларов, виллу во Франции за 3 миллиона евро. В Америке он заключил сделку со следствием и выдал властям свою переписку с другими хакерами. Предлагали ему и дать показания против Романа Селезнева — он фигурировал на Carderplanet под ником пСих. Хорохорин утверждает, что отказался, заявив агентам ФБР: «Парни, мы в бане вместе гуляли. Какие показания? Идите на хуй».

Он получил 7 лет тюрьмы, а когда его досрочно освободили, то экстрадировали в Израиль. Российскому госканалу, приехавшему на интервью, хакер рассказал , что, находясь в заключении, он нашел дыры в безопасности американских военных организаций. После чего заявил, что мечтает работать на российские спецслужбы. «Русских хакеров преследуют, это охота на ведьм, они создают врага себе, — заявил Хорохорин. — Я воровал, но не у людей, а у американского государства. У них надо воровать. Они воруют у всего мира». Через пару месяцев после выхода этого сюжета хакер начал путешествовать по России.

Сейчас Хорохорин выкладывает в своем фейсбуке ностальгические фотографии, сделанные до ареста, и философские размышления о жизни. «Мне 35 лет, — пишет он. — Я феерически талантливый идиот, говорящий на 8 языках и посмотревший мир. Иногда я хочу изменить мир. Но как я могу изменить мир, если я не могу изменить себя? Недавно, на другом конце света, я встретил людей, которых не видел очень давно. У этих людей красивые и умные жены, а у одного из них двое прекрасных детей, эти люди изменились, любят и любимы, и тех людей, которых помнил я — уже не узнать. Я же не изменился ничуть. Поэтому сегодня я повторяю, как мантру: „Господи, дай мне спокойствие принять то, чего я не могу изменить, дай мне мужество изменить то, что я могу изменить. И дай мне мудрость отличить одно от другого"».

А еще, как и многие российские хакеры, Хорохорин пишет стихи:

Но кто же Вы теперь? Вы поколение Facebook и Lady Gaga, Где исчисляя по количеству «лайков» Оцениваете качества «френдов» Или сливая злость на всё и вся вокруг, ты остаешься виртуальною, — И рада; За «авой» лишь следы ночей без снов. Глаза опухшие от грустных мыслей и от слез, За «ником» комплексов покров. И что скрываешь ты в душе, моя отрада? Что ищешь ты — там не найдешь ответа, Ни помощи, ни дельного совета И уж тем более того, о чем действительно мечтаешь: Лишь мегабайты бреда и вопросы без ответа

 

Глава 11

Псих

Перед тем как американский суд вынес ему приговор, хакер Роман Селезнев написал от руки 11 страниц текста на английском языке. Вот что он рассказал:

Я родился во Владивостоке 23 июля 1984 года. Мне было два года, когда родители развелись. Мы с мамой стали жить в комнате общей площадью 10 квадратных метров. Мы жили вместе с другими 4 семьями в эти трудные времена. Когда мне было 7 лет, моя мама купила квартиру у своего брата. Она не заплатила полную стоимостью и должна была выплачивать деньги в течение года. Мы жили бедно, мне было больно смотреть, как маме приходится каждый день страдать. Она работала кассиром в одном из районных магазинов, и большую часть времени я был дома один. Так — самостоятельно — я начинал изучать компьютерные технологии. У меня появились хорошие навыки. Когда я учился в школе, понял, что надо как-то помогать матери. В 16 лет я пошел в колледж, где изучал математику и информатику. Я хотел сделать жизнь матери лучше и хотел, чтобы у меня был отец, который бы мной гордился.

Я стал замечать, что мама часто выпивает. Иногда она делала это 7 дней подряд. Когда мне было 17, мама умерла. Я вернулся из школы и увидел, что она утонула в ванной. Она умерла из-за алкогольного отравления. На следующий день брат матери забрал из квартиры все ее украшения и хорошие вещи, а мне сказал уходить. Он сказал, что мама так и не заплатила ему за квартиру, хотя она платила.

После похорон я больше не появлялся в школе. Начал искать работу. Иногда мне помогала бабушка.

Я нашел работу в местном компьютерном клубе. Они предложили работать 24 часа каждый день. Платили примерно 5 долларов за день. Скоро я понял, что они просто используют меня. Я попытался найти работу в интернете. Это привело к тому, что все пошло под откос. Я занялся криминалом. Выбрал не тот путь — стал хакером, стал взламывать компьютеры, воровать кредитные карты и другую информацию, которую можно продать. Этих денег хватало. В 2007 году я нашел большую базу кредиток и продал ее за большие деньги. Я становился жадным.

В 2008 году я женился на Светлане. В следующем году у нас родилась прекрасная Ева. Они уехали в отпуск. Я остался дома. Тогда внезапно в квартиру ворвались грабители. Они избили меня, узнали мои пароли, забрали мои компьютеры. Они знали, чем я занимаюсь, и понимали, что их не будут ловить. Я не переживал из-за материальных потерь, но снова остался без денег. Но я знал, где их достать. Я боялся, что грабители могут вернуться, поэтому мы уехали для безопасности на Бали.

В середине 2010 года у меня были проблемы с работой, я не мог ничего найти. Поэтому снова занялся тем, что умел. В то же время у меня умерла бабушка — она была для меня настоящим родителем. Она не знала меня с плохой стороны — думала, я просто компьютерный специалист.

(Следующие несколько предложений вымараны цензурой. Очевидно, речь идет про отца Селезнева Валерия — депутата Госдумы от ЛДПР. — Прим. Авт.)

Он пригласил меня с семьей в Марокко. Мы приехали туда за день до того, как приедет отец. Мы решили позавтракать в отеле, но там сказали, что пустят, только если я надену пиджак. У меня пиджака не было, поэтому мы отправились в ближайшее кафе. Официант сказал, что нам придется подождать около получаса. Он добавил: «Это плохая идея». Но я не понял, что он имеет в виду.

Официант принес нам апельсиновый сок, в этот же момент шахид подорвал себя. Все кафе взорвалось [49] , везде были мертвые люди и кровь. Взрывом повредило половину моей головы. Слава богу, моя жена не пострадала.

(Как выяснится позже, 29 апреля 2011 года террористы оставили в кафе в Марракеше два портфеля со взрывчаткой и подорвали их с помощью мобильного телефона. Погибли 17 человек. Марокканские власти обвинили в теракте «Аль-Каиду», но организация брать на себя ответственность за взрыв отказалась. — Прим. Авт.)

У меня было плохое состояние, я думал, что умру прямо там. Я впал в кому. Моей жене врачи сказали, что не смогут ничего сделать для спасения моей жизни. Мне требовалась сложная операция на мозге, которую не умели делать.

Мой отец как-то смог организовать мою перевозку на самолете в Москву. Врачи сказали отцу и жене, что я скоро умру, а если произойдет чудо, я останусь «овощем на всю жизнь». Моя жена бросила меня и улетела в свой родной город — думала, я умру.

Я не был крещен. В России люди перед смертью должны креститься — иначе попадешь в ад. К больнице был приставлен священник, он быстро по просьбе моего отца крестил меня. Но чудо случилось. После двух недель я вышел из комы. Я не мог говорить и ходить, но понимал речь и мог взаимодействовать. Через 3 месяца я смог ходить, через год восстановил речь и понимание. С мая 2011 года по конец 2012 года я провел в различных больницах. У меня были операция за операцией — на мозге, на шее. В середине 2012 года мы с женой развелись. Она сказала, что оставила меня, потому что не хотела заботиться об «овоще». Она улетела в США с нашей дочерью, забрав все деньги.

В 2013 году я снова стал взламывать компьютеры и продавать кредитки. Моя жизнь была ужасной. Я ненавидел мужчину, которого видел в зеркале. Я спрашивал Бога: «Зачем ты спас меня?» Вскоре я встретил Анну, она стала моей невестой. Она ждет меня в России. Она любит меня и поддерживает уже три года. У нее есть дочь, которую я хочу удочерить.

В 2014 году я был арестован американскими властями. Когда я попал в тюрьму, у меня был плохой английский. Я был напуган, дезориентирован, не понимал и половины того, что происходит и что мне говорят люди. Мой адвокат дал мне ужасный совет бороться, потому что иначе я получу пожизненное. Сейчас мне понятно, что всем адвокатам, которые у меня были, нужна была только публичность.

Думаю, все это цена за то, что я делал всю жизнь. Я совершил много дурных поступков и беру на себя ответственность за них. Я не идеален. Теперь я отвечу за это, как мужчина.

Я выслушал тех, кого ограбил. Мне хотелось плакать. Некоторые из них из-за меня потеряли бизнес.

Я боюсь наказания. Но понимаю, что я причинял не только финансовые проблемы. Из-за меня люди теряли ощущение безопасности — своей, своих денег, своей информации.

Я, Роман Селезнев, хочу сказать: «Я был неправ, я сожалею».

Надеюсь, что однажды выйду из тюрьмы. Я буду работать, чтобы выплатить деньги, потерянные моими жертвам. Буду работать честно. За годы в тюрьме я получил несколько образовательных дипломов, например по «ресторанному и отельному менеджменту».

До своего ареста я катился вниз по смертельно опасной дороге.

Спасибо большое.

Как указано в материалах уголовного дела Селезнева, когда ему было 18 лет, он перешел от увлечения программированием к первым взломам. Их он совершал под именем пСuх — «псих», если прочитать латинские буквы по-русски; этим именем он пользовался и при регистрации на кардерских форумах вроде Carderplanet. Поначалу он взламывал базы данных, чтобы воровать документы (имена, даты рождения, данные паспорта, номера соцобеспечения), потом стал красть номера кредитных карт и продавать базы данных другим кардерам.

Селезнев взламывал не отдельные счета, а процессинговые системы небольших предприятий в США, через которые проходили все финансовые операции этих бизнесов. Чаще других его целями становились небольшие закусочные в Вашингтоне и других городах США. В материалах уголовного дела упоминаются несколько пиццерий и булочных (всего около 3700 предприятий за все годы). Малый бизнес Селезнев выбирал из-за плохой защищенности: у таких предприятий не бывает своих департаментов киберзащиты, обычно они используют плохие пароли. Благодаря такому подходу к концу 2000-х Селезнев стал одним из самых успешных кардеров мира.

Спецслужбы США начали отслеживать деятельность Селезнева еще в 2005 году. В мае 2009 года агенты ФБР встретились в Москве с представителями ФСБ. Россияне представили американцам доказательства того, что за ником пСuх скрывается житель Владивостока Роман Селезнев. Спустя месяц, в июне 2009 года, пСuх сообщил на форуме, что уходит из бизнеса, после чего его профили на форумах были уничтожены. В США считают, что именно ФСБ передала Селезневу информацию, что им интересуются американские власти. Переписка хакера подтверждает, что он поддерживал связь с ФСБ. Одному из своих сообщников Селезнев объяснял, что у него есть защита от центра информационной безопасности ФСБ. Также он говорил, что ФСБ знает, кто он такой и чем занимается.

Мой источник, работа которого связана с кибербезопасностью, утверждает, что российских хакеров, взламывающих зарубежные системы, почти никогда не наказывают — чаще привлекают для работы на государство. Все российские хакеры знают присказку «Не работай по ги»; иными словами — нельзя, находясь в России, атаковать российские банки и компании.

Уничтожив свой прежний псевдоним, Селезнев скоро начал действовать как Тгаск2 и Bulba. Вскоре он вывел свой бизнес на новый уровень. В сентябре 2009 года он открыл интернет-магазин украденных карт. Выглядело это почти как Amazon: там можно было искать по категориям, выбирая между брендами карт или разными финансовыми организациями. Власти США считают, что Селезнев перепридумал кардерский рынок: раньше украденные карты появлялись на отдельных ветках форумов, теперь процесс обмена ворованными данными был оптимизирован и автоматизирован. В апреле 2011 года в магазине Селезнева появилось около миллиона новых карт. Через пару недель после этого он улетел в Марокко и чуть не погиб при взрыве. Пока россиянин лечился, его сообщники продолжали работать над проектом, но в январе 2012 года сайт закрыли.

Выйдя из больницы, Селезнев взял себе ник 2Рас. Он создал еще один интернет-магазин и запустил сайт, на котором можно было найти базовые инструкции о том, как красть банковские данные и использовать их. В верхней части сайта висело объявление на английском: «Тут я вам объясню, Как Зарабатывать Деньги. От $ 500 до 5 000 и даже 50 000. Помните, это нелегальный путь! Весь процесс от начала до конца». В первый месяц работы сайта в июне 2014 года его посетили 3,5 тысячи человек.

Селезнев заработал очень много. Известно , что только через один из сервисов для переводов он получил около 18 миллионов долларов. Точный размер его состояния неизвестен: хакер получал деньги через биткоины, WebMoney и другие электронные кошельки. Он купил два дома на Бали, часто фотографировал пачки купюр и дорогие автомобили. У него есть фотография рядом со спорткаром на фоне собора Василия Блаженного — почти такая же, как у другого арестованного российского хакера Евгения Никулина (его задержали в Праге в октябре 2016 года, обвинив во взломах LinkedIn, Dropbox и других сервисов; Никулин утверждал, что от него требовали признаться в том, что он взламывал почтовый ящик Хиллари Клинтон по приказу Владимира Путина).

Понимая, что его могут отслеживать агенты ФБП Селезнев путешествовал аккуратно. Он выбирал страны, в которых нет экстрадиции в США, и покупал билеты в последний момент, чтобы мешать спецслужбам отслеживать свои перемещения.

В июле 2014 года он отправился на Мальдивские острова, где снял виллу за 1400 долларов в день. «Я взял себе самую дорогую виллу, у меня есть собственный слуга», — написал он одному из сообщников.

Узнав, что Селезнев находится на Мальдивах, агенты ФБР попросили Госдепартамент США использовать свои связи с местными властями. После переговоров глава полиции страны согласился задержать хакера, несмотря на отсутствие договора об экстрадиции. По данным Bloomberg, на Мальдивы с Гавайев прилетели двое агентов ФБР. Они вместе с полицией отслеживали перемещения Селезнева. Когда тот отправился в аэропорт, откуда должен был вылететь в Москву, его задержали. Хакера посадили на частный самолет и через 12 часов привезли на Гуам, где находилась американская военная база.

По данным уголовного дела, при себе у Селезнева был ноутбук с данными о 1,7 миллиона украденных номеров кредитных карт, а также паролями к серверам, почтовым аккаунтам и финансовым переводам.

Оказавшись после Гуама в Сиэтле, Селезнев заявил, что агенты ФБР его избивали, но суд его претензии отверг. Российский МИД назвал арест россиянина похищением и «очередным недружественным шагом Вашингтона». Отец Селезнева предложил ввести против Мальдив экономические санкции. Он рассказывал , что Романа возят на восьми бронированных автомобилях, пересаживая из одного в другой — «делают из него какого-то интернет бен Ладена».

Спустя месяц после ареста Селезнева на форуме 2Рас появилось сообщение: «Извиняемся за отсутствие обновлений. Босс попал в автомобильную аварию, он в больнице».

Прокурор заявил , что Селезнев — самый серьезный киберпреступник из всех, кто когда-либо представал перед судом. Обвинение называло его человеком с экстраординарными компьютерными навыками, который возвращался к киберпреступлениям несколько раз, «увеличивая масштабы атак». Ущерб от его действий оценили в 170 миллионов долларов. Прокурор даже сравнил россиянина с Тони Сопрано, главным героем сериала «Клан Сопрано».

«Его арест — редкая победа в борьбе против восточноевропейских киберпреступников, — утверждали американские прокуроры. — Многие хакеры живут в России, которая не выдает преступников в США. Если Селезнева выпустить, то, учитывая его связи с российскими правоохранительными органами, дома он будет действовать безнаказанно».

Селезнев долго отказывался сотрудничать со следствием и затягивал процесс. В уголовном деле есть расшифровка его телефонных тюремных разговоров с отцом. В них они обсуждают «вариант дяди Андрея» — затягивание рассмотрения дела, при котором Селезнев сначала заболеет, а потом перестанет общаться с адвокатами. Он сработал: рассмотрение дела удалось отсрочить на несколько месяцев.

В итоге Селезнев все-таки признал вину — и написал от руки покаянное письмо с рассказом о своей тяжелой биографии. Вердикт ему выносили в апреле 2017 года, когда история о предположительном вмешательстве российских хакеров в выборы президента США уже несколько месяцев была одной из главных тем в американских СМИ. Его приговорили к 27 годам — самый большой срок, который когда-либо давали в США за киберпреступления. После этого хакер сменил покаянную риторику на обвинительную. «Я политический заключенный. Я орудие для правительства США, — заявил Селезнев. — Они хотят послать сигнал всему миру, используя меня в качестве пешки. Учитывая мою травму головы, сегодняшний приговор можно считать смертельным». Его отец назвал решение «приговором людоедов».

В сентябре 2017 года Роман Селезнев признал обвинения еще по двум делам — убытки по ним составили около 52 миллионов долларов.

 

Глава 12

Стартапер

Мировые спецслужбы охотятся не только за людьми, когда-то посещавшими форум Carderplanet. В последние годы США задержали в разных частях мира не менее десяти российских хакеров. Некоторых из них осудили; другие ожидают приговора. Российские власти такие эпизоды обычно называет «похищениями» — и аресты россиян правда иногда их напоминают.

К 2009 году 25-летний Никита Кузьмин преуспел и в публичном бизнесе, и в подпольной хакерской деятельности. Он стал соучредителем компании YouDo и написал о запуске сайта колонку для roem.ru — в то время YouDo не специализировался на бытовых услугах, как сейчас, а был площадкой для заказа рекламных кампаний. Примерно в то же время Кузьмин узнал, что специалисты по компьютерной безопасности обратили внимание на совершенные им взломы: они начали исследовать вирус-троян, который Кузьмин разрабатывал последние годы и на котором зарабатывал сотни тысяч долларов.

Кузьмин — приемный сын музыканта Владимира Кузьмина. «У Никиты свой отец, я его только воспитывал, — говорил певец в 2010 году. — Он стал бизнесменом. Возможно, пошел в родного отца, которого он ни разу в жизни не видел». В 2016 году певец уже отрицал родство с хакером: «Это не мой сын, это ошибка».

«Сынка я нагуляла с любовником! — рассказывала мать хакера Татьяна Артемьева. — Сейчас он живет в Америке, настоящий компьютерный гений, регулярно высылает мне деньги. Помню, как Володя приехал, чтобы познакомиться с отцом Никиты. Имени этого мужчины называть не буду. Кузьмин пожал ему руку, пожелал удачи, а я отдала ему ключи от съемной квартиры».

В материалах уголовного дела Кузьмина указано, что он учился в двух технических вузах, где получил «продвинутые компьютерные навыки». Мой собеседник, хорошо знакомый с хакером, сказал, что Кузьмин окончил кафедру информационной безопасности Московского университета имени Баумана.

В середине нулевых Никита Кузьмин начал взламывать ICQ: он «угонял» аккаунт у владельца и требовал деньги за его возвращение. На этом хакер заработал около 20 тысяч долларов. Примерно тогда же он получил доступ к базе паролей и логинов одной из финансовых организаций. В течение нескольких лет он выводил деньги из банков по всему миру — всего около 50 тысяч долларов. Кузьмин периодически покупал разный хакерский софт для воровства денег с банковских аккаунтов в США и Австралии, но программы часто не срабатывали, и поэтому он решил сделать свою.

Он нанял программиста — и тот за десять месяцев по проекту Кузьмина написал банковского трояна, получившего имя Gozi. Заплатил Кузьмин за эту работу около 20 тысяч долларов.

Продвигать свою разработку он начал под ником 76 service. Программа была не просто вирусом, а фактически В2В-софтом для преступников без хакерских способностей. Он сдавал программу в аренду другим хакерам: примерно за 2 тысячи долларов в неделю к Gozi можно было получить доступ и настроить ее на необходимые цели.

Программа рассылала жертвам зараженные pdf-документы. После заражения Gozi подгружал на компьютер вирус, который собирал всю секретную банковскую информацию, в том числе пароли и логины для входа в аккаунт. Эта информация передавалась владельцам Gozi — клиенты Кузьмина могли получить к ней доступ через удобный интерфейс. Позже следователи обнаружат сервер, на котором хранилось около 10 тысяч паролей к банковским аккаунтам; они принадлежали приблизительно 300 компаниям, включая NASA; всего атакам хакеров в США подверглись 40 тысяч компьютеров.

Ущерб, нанесенный хакерами, американские власти оценивают примерно в 50 миллионов долларов.

В 2010 году агенты ФБР занялись поисками авторов Gozi. К тому моменту они уже изучили сам троян, знали IP-адреса, с которых проводились атаки. Спецслужбы получили разрешение на перехват переписок неизвестного российского хакера. Часть из них есть в материалах уголовного дела.

«Зачем тебе Zeus (вирус самого разыскиваемого в мире хакера Евгения Богачева. — Прим. Авт.)? Используй мой троян. Мой намного круче», — писал хакер.

«Сколько твой будет стоить мне?» — ответил неизвестный.

«2к в месяц, все включено. И у меня есть ботсеть и удобная админка».

В других сообщениях автор Gozi рассказывал, что недавно подарил своей девушке фотосессию для российского Playboy, а по Европе ездит на кабриолете BMW б-й серии.

Из перехваченной переписки видно, что хакер предлагал клиенту оплатить программу, переслав деньги на его счет в «Альфа-банке» — на имя Никиты Кузьмина. Помог спецслужбам и засвеченный хакером в переписках почтовый адрес . Американцы также изучили аккаунт Кузьмина в «Одноклассниках» и нашли там фотографии, на которых хакер стоит рядом с BMW 6-й серии — видимо, тем же автомобилем, на котором он ездил по Европе.

19 ноября 2010 года Кузьмин написал в одном из чатов: «Поеду из Таиланда и затеряюсь где-то там». Через три дня сообщил, что находится в Бангкоке. А 27 ноября он оказался в Сан-Франциско, куда поехал по делам, не думая о возможном аресте. В аэропорту Кузьмина сразу же задержали, после чего арестовали и перевезли в нью-йоркскую тюрьму.

Когда об этом стало известно другим хакерам, работавшим с Gozi, они запаниковали. Один из пользователей программы, разработанной Кузьминым, писал: «Всем, кто имел дело с 76-й командой, нужно принять меры, менять контакты, на форумах вести себя аккуратно, без особой нужды не покидать родину, а то пиздец». Другой пользователь писал: «Никита много болтал про себя, все время на одной жабе [то есть аккаунте в Jabber. — Прим. Авт.] сидел, сдал партнеров…»

Первое время Кузьмину грозило до 97 лет заключения. Сторону обвинения в деле Кузьмина представлял прокурор Южного округа Нью-Йорка Прит Бхарара. Он указывал , что, сдавая вирус в прокат, «Кузьмин сделал его доступным для тех, у кого нет серьезных познаний в компьютерных науках». «В отличие от большинства [кибер] преступлений, преступление Кузьмина — распространение и использование вируса — невозможно остановить только поимкой создателя. Он продал код Gozi другим, и он может использоваться дальше», — объяснял прокурор.

В мае 2011 года Кузьмин подписал со следствием соглашение о сотрудничестве и начал давать показания на сообщников — после этого их арестовали в Риге и Бухаресте.

Кузьмина защищал Алан Футерфас; он же — адвокат сына президента США, Дональда Трампа-младшего. Ранее Футерфас защищал клиентов, связанных с мафией, а с сыном Трампа начал сотрудничать после того, как стало известно о его встрече с российским адвокатом Натальей Весельницкой: та якобы предлагала сотрудникам президентского штаба Трампа компромат на Хиллари Клинтон. Дело Кузьмина рассматривалось долго, заседания суда то и дело переносились.

В тюрьме у хакера, видимо, был доступ к интернету. В 2011 году он смог продать свою долю в YouDo, в 2015 году обновлял фото в фейсбуке; за два месяца до приговора оставлял комментарии на сайте Roem. Например, 7 марта 2016 года он участвовал в обсуждении инициативы администрации президента о предоставлении налоговой службе информации обо всех покупках россиян за рубежом. «Сенсация прямо!» — заметил Кузьмин.

Приговор хакеру огласили 2 мая 2016 года. Ему назначили три года заключения и штраф в 7 миллионов долларов — к тому моменту он уже провел в тюрьме пять лет. В тот же день Кузьмин вернулся в Россию. Обвинение запрашивало срок в два раза больше, однако суд учел сотрудничество Кузьмина со следствием.

Судя по фейсбуку Кузьмина, теперь он занимается площадкой для трейдинга в интернете и много путешествует: после освобождения он уже побывал в Вене, Амстердаме, Киеве, Абу-Даби, Сочи и на плато Путорана в Якутии. Помимо этого он решил создать религию, которая объединит всех людей на земле. Разговаривать о ней со мной он отказался.

 

Глава 13

Спортсмен

22 марта 2012 года руководитель самой успешной российской киберспортивной организации тех лет Moscow Five Дмитрий «Смелый» Смилянец объявил , что у команды появляется «куратор» — бизнесмен и долларовый миллиардер Сергей Матвиенко (сын Валентины Матвиенко, спикера Совета Федерации). Он рассказал, что переговоры с Матвиенко проходили параллельно с победами команды Moscow Five по League of Legends в финале чемпионата мира. На сайте Moscow Five появилось совместное фото Смилянца и Матвиенко: Смилянец на ней одет в синюю толстовку Adidas, сын Матвиенко сидит рядом с чучелом буйвола.

Судя по социальным сетям, Смилянец вообще увлекался политикой и много общался с российскими общественными деятелями. В марте 2012 года, когда проходили выборы президента России, он выложил фотографию избирательного бюллетеня с галочкой за Владимира Путина. Фотографию он подписал: «В нем уверен! За сильного лидера!» Через некоторое время он выложил фото с круглого стола с представителями администрации президента, на котором «обсуждались вопросы проблематики киберспорта в России». На другой фотографии был российский флаг, поверх которого была выведена цитата из гимна: «Нам силу дает наша верность отчизне».

Перед каждым соревнованием Смилянец публично обращался к Богу. «Господи, помоги нам одержать победу на Intel Extreme Masters в Ганновере. Бьемся за честь Москвы, за Матушку Россию!» — написал он в марте 2012 года. Тогда же он выкладывал картину «Благословенное утро в Москве», которую, по его словам, Moscow Five передал художник Никас Сафронов, обычно пишущий российских политиков и знаменитостей.

В 2003 году, по данным Bloomberg, Смилянец познакомился с Владимиром Дринкманом, когда они играли в Counter-Strike в интернете. Смилянец в этих играх часто жульничал, используя чит-коды. Вскоре они встретились. Дринкман рассказывал, что они стали приятелями — Смилянец был для него одним из людей, с которым можно выпить водки или поехать на рыбалку.

Дринкман вырос в Сыктывкаре, со школы увлекался компьютерами, самостоятельно выучил язык программирования C++ и работал системным администратором в университете. Смилянец родился в Москве, где окончил кафедру информационной безопасности Университета имени Баумана. В самоописании своего твиттера он сообщал, что его интересуют геополитика, киберспорт и информационная безопасность. Он много общался с реальными бандитами: его знакомый хакер вспоминал, что при личном знакомстве Дринкман оказался фанатом Михаила Круга, а в 2003 года его ранили выстрелом, когда он находился в автомобиле с вором в законе — тот погиб.

По данным американского уголовного дела, с 2005 года приятели начали проникать в компьютерные сети финансовых компаний, платежных систем и магазинов, получая доступ к данным о кредитных картах. Смилянец отвечал в том числе за их перепродажу — карты уходили за 10–50 долларов за штуку в зависимости от страны происхождения. Они внедрились в биржу Nasdaq, супермаркеты 7-Eleven, французскую сеть Carrefour и другие крупные компании. За следующие десять лет они, по данным обвинения, украли около 160 миллионов кредитных карт и нанесли ущерб на 300 миллионов долларов. Американским спецслужбам на Дринкмана указал хакер Альберт Гонсалес (с ним же связывали белорусского хакера Сергея Павловича); уже через Дринкмана те вышли на Смилянца. Сам Гонсалес уже отбывает двадцатилетний тюремный срок — за воровство 130 миллионов кредиток.

В июле 2013 года спецслужбы обнаружили в аккаунте Смилянца в инстаграме фотографию, на которой он в толстовке с гербом России позирует на фоне надписи «/ <3 Amsterdam» в центре голландской столицы. После этого американцы обзвонили все отели неподалеку; в одном из них им сказали, что Смилянец действительно проживает в гостинице, но сейчас спит. Следующим утром детективы приехали в отель. Оказалось, что Смилянец снял два номера. В соседнем оказался Владимир Дринкман, о местоположении которого спецслужбы даже не догадывались.

В последнем посте во «ВКонтакте» перед задержанием Смилянец выложил фотографию киберспортсменов с подписью: «Достояние киберспорта России. Плохо про них могут говорить только агенты ЦРУ и МИ-6». После ареста Смилянца начали называть «крестным отцом» киберспорта, а на sports.ru вышла колонка, в которой говорилось, что «теперь всем понятно, откуда у Смелого были деньги на содержание команд». Позже следователи сообщили, что в группировке были еще трое хакеров — двое россиян и один украинец; их поймать не удалось.

Отец Смилянца, московский адвокат Виктор Смилянец, считает , что вина его сына не подтверждается никакими доказательствами. По его словам, при задержании у Смилянца не было компьютера — главной потенциальной улики. «Большее недоумение вызывают суммы причиненного банкам и другим финансовым учреждениям материального вреда, фигурируют невероятные цифры, — написал Смилянец-старший. — Американцы любят рисовать астрономические цифры и тем самым списывать миллиарды долларов долгов».

Смилянец почти сразу же согласился на экстрадицию в США. Там его поместили в тюрьму в Нью-Джерси, где он начал коротать время, изучая испанский и китайский. Дринкман боролся против экстрадиции два с половиной года. Он заявил Bloomberg, что прочитал в голландской тюрьме «Песнь льда и пламени» Джорджа P. Р. Мартина. Интервью он дал из психиатрического отделения тюрьмы: туда, по словам адвоката, хакер попал после того, как Голландия согласилась на его переезд в Америку.

В сентябре 2015 года и Смилянец, и Дринкман признали свою вину. Приговор им несколько раз переносили. В феврале 2018 года Дринкмана приговорили к 12 годам заключения, Смилянца — к 4 годам, которые он уже отсидел, пока шло следствие; его отпустили из зала суда.

 

Глава 14 Адвокат

Как-то вечером в 2009 году в пражской квартире, где жил с женой выходец из России Дмитрий Насковец, погас свет. Через несколько минут в дверь позвонили. Посмотрев в глазок, жена увидела мужчину в оранжевой жилетке с надписью «Электрик». «Ой, Дима, открой дверь, я в халатике!» — крикнула ему жена. Когда он открыл дверь, кроме электрика на лестничной площадке стояли агенты ФБР и чешские полицейские. Насковцу показали ордер на арест из США, заломали руки и увезли в участок.

Насковец был одним из самых успешных русскоязычных карде-ров — как он вспоминал позже, в этом занятии его привлекали даже не деньги, а «принадлежность к странному закрытому клубу» (зато его девушка, когда он начал богатеть, «превратилась в Пэрис Хилтон»). После задержания белорус испытал облегчение. «Наконец-то этот странный период [ожидания ареста] подошел к концу, — вспоминал он. — Когда видишь ордер, где черным по белому написано, что следующие 40 лет ты проведешь в тюрьме, это не страшно. Больно уж нереальная цифра: это же бред и сюрреализм какой-то!»

Защищал Насковца адвокат Аркадий Бух — выходец из Баку, эмигрировавший в США в начале 1990-х. Приехав в Нью-Йорк, он сразу же начал работать юристом в сообществе эмигрантов по делам о визах, нападениях, домогательствах; в 2013 году защищал Азамата Тажаякова, одного из фигурантов дела братьев Царнаевых, которые устроили теракт на Бостонском марафоне. В последние годы Бух специализируется на защите киберпреступников — например, именно он был адвокатом Владислава Хорохорина и некоторых других российских хакеров, которых судили в США.

«Остап Бендер — в бабочке, в шляпе, в белых штанах, — описывал Буха один из его подзащитных. — Имя ему сделало ФБР потому что подсовывало клиентов с большим пафосом. ФБР ведь каждый раз хочет создать впечатление, что арестовало серьезного преступника — к радости налогоплательщиков и ради повышения по службе. Каждый раз и каждый день — крупнейший арест в истории».

Бух говорил, что российских хакеров можно называть «российскими солдатами». «Они атакуют США и не испытывают никаких моральных проблем. В России хакеры договариваются с агентами из ФСБ, они спокойны, точно знают, что их не посадят, — объяснял он. — Они много времени тратят на исследования, атаки и прочую деятельность. Они уверены в своей безнаказанности. И в крайнем случае они либо дадут денег, либо получат условный срок».

С недавних пор Бух занимается не только юридическими услугами — он создал компанию Cybersec, которая занимается кибербезопасностью. Его партнер в этом бизнесе — Дмитрий Насковец: хоть ему и грозило 40 лет тюрьмы, по совету адвоката хакер пошел на сделку со следствием и вышел на свободу уже в 2015 году. Сейчас с компанией работают десятки известных хакеров, многие из них до сих пор в розыске. Сам Насковец объясняет это так: «Как бороться против русских бандитов, никто не знает, кроме самих русских бандитов».

Хакеры, за которыми охотились американцы, в основном соблюдали основное правило российских киберпреступников — «Не работать по ги», не воровать в своей стране. Некоторых, желающих рискнуть, ловит уже собственное государство.

 

Глава 15 Затаившиеся

Летом 2015 года российский Центральный банк создал Fincert — центр мониторинга и реагирования на компьютерные инциденты в кредитно-финансовой сфере. Через него банки обмениваются информацией о компьютерных атаках, анализируют их и получают рекомендации по защите от спецслужб. Таких атак много: Сбербанк в июне 2016-го оценил потери экономики России от киберпреступности в 600 миллиардов рублей — тогда же у банка появилась дочерняя компания «Бизон», занимающаяся информационной безопасностью предприятия.

В первом докладе о результатах работы Fincert (с октября 2015-го по март 2016 года) рассказывается о 21 целевой атаке на инфраструктуру банков; по итогам этих событий было возбуждено 12 уголовных дел. Большая часть этих атак была делом рук одной группировки, которая получила название Lurk в честь одноименного вируса, разработанного хакерами: с его помощью у коммерческих предприятий и банков похищали деньги.

Участников группировки полиция и специалисты по кибербезопасности искали с 2011 года. Долгое время поиски были безуспешными — к 2016-му группировка похитила у российских банков около трех миллиардов рублей, больше, чем любые другие хакеры.

Вирус Lurk отличался от тех, которые следователи встречали раньше. Когда программу запускали в лаборатории для теста, она ничего не делала (потому ее и назвали Lurk — от английского «затаиться»), Позже оказалось , что Lurk устроен как модульная система: программа постепенно загружает дополнительные блоки с различным функционалом — от перехвата вводимых на клавиатуре символов, логинов и паролей до возможности записывать видеопоток с экрана зараженного компьютера.

Чтобы распространить вирус, группировка взламывала сайты, которые посещали сотрудники банков: от интернет-СМИ (например, РИА «Новости» и «Газета. ру») до бухгалтерских форумов. Хакеры использовали уязвимость в системе обмена рекламными баннерами и через них распространяли вредоносную программу. На некоторых площадках хакеры ставили ссылку на вирус ненадолго: на форуме одного из журналов для бухгалтеров она появлялась в будние дни в обеденное время на два часа, но и за это время Lurk находил несколько подходящих жертв.

Щелкнув на баннер, пользователь попадал на страницу с эксплойтами, после чего на атакованном компьютере начинался сбор информации — главным образом хакеров интересовала программа для дистанционного банковского обслуживания. Реквизиты в платежных поручениях банков подменялись на нужные, и несанкционированные переводы отправляли на счета компаний, связанных с группировкой. По словам Сергея Голованова из «Лаборатории Касперского», обычно в таких случаях группировки пользуются компаниями-однодневками, «которым все равно, что переводить и обналичивать»: полученные деньги там обналичивают, раскладывают по сумкам и оставляют закладки в городских парках, где их забирают хакеры.

Члены группировки старательно скрывали свои действия: шифровали всю повседневную переписку, регистрировали домены на фальшивых пользователей. «Злоумышленники пользуются тройным VPN, „Тором", секретными чатами, но проблема в том, что даже отлаженный механизм дает сбой, — объясняет Голованов. — То VPN отвалится, то секретный чат оказывается не таким секретным, то один вместо того, чтобы позвонить через Telegram, позвонил просто с телефона. Это человеческий фактор. И когда у тебя копится годами база данных, нужно искать такие случайности. После этого правоохранители могут обращаться к провайдерам, чтобы узнать, кто ходил на такой-то IP-адрес и в какое время. И тогда выстраивается дело».

Задержание хакеров из Lurk выглядело как боевик. Сотрудники МЧС срезали замки в загородных домах и квартирах хакеров в разных частях Екатеринбурга, после чего сотрудники ФСБ с криками врывались внутрь, хватали хакеров и бросали на пол, обыскивали помещения. После этого подозреваемых посадили в автобус, привезли в аэропорт, провели по взлетно-посадочной полосе и завели в грузовой самолет, который вылетел в Москву.

В гаражах, принадлежащих хакерам, нашли автомобили — дорогие модели Audi, «кадиллаков», «мерседесов». Также обнаружили часы, инкрустированные 272 бриллиантами. Изъяли украшения на 12 миллионов рублей и оружие. Всего полицейские провели около 80 обысков в 15 регионах и задержали около 50 человек.

Арестованы были, в частности, все технические специалисты группировки. Руслан Стоянов, сотрудник «Лаборатории Касперского», занимавшийся расследованием преступлений Lurk вместе со спецслужбами, рассказывал, что многих из них руководство искало на обычных сайтах по подбору персонала для удаленной работы. О том, что работа будет нелегальной, в объявлениях ничего не говорилось, а зарплату в Lurk предлагали выше рыночной, причем работать можно было из дома. «Каждое утро, кроме выходных, в разных частях России и Украины отдельные личности садились за компьютеры и начинали работать, — описывал Стоянов. — Программисты докручивали функции очередной версии [вируса], тестировщики ее проверяли, потом ответственный за ботнет загружал все на командный сервер, после чего происходило автоматическое обновление на компьютерах-ботах».

Рассмотрение дела группировки в суде началось еще осенью 2017 года и продолжалось в начале 2019 года — из-за объема дела, в котором около шестисот томов. Адвокат хакеров, скрывающий свое имя, заявлял , что никто из подозреваемых не пойдет на сделку со следствием, но некоторые признали часть обвинений. «Наши клиенты действительно выполняли работы по разработке различных частей вируса Lurk, но многие просто не были осведомлены о том, что это троянская программа, — объяснял он. — Кто-то делал часть алгоритмов, которые могли с успехом работать и в поисковых системах». Дело одного из хакеров группировки вывели в отдельное производство, и он получил 5 лет, в том числе за взлом сети аэропорта Екатеринбурга.

В последние десятилетия в России спецслужбам удалось разгромить большинство крупных хакерских группировок, которые нарушили главное правило — «Не работать по ru»: Carberp (похитили около полутора миллиардов рублей со счетов российских банков), Апипак (похитили более миллиарда рублей со счетов российских банков), Paunch (создавали платформы для атак, через которые проходили до половины заражений по всему миру) и так далее. Доходы таких группировок сопоставимы с заработками торговцев оружием, а состоят в них десятки людей помимо самих хакеров — охранники, водители, обнальщики, владельцы сайтов, на которых появляются новые эксплойты, и так далее.

 

Глава 16 Сыщики

Расследованием киберпреступлений занимаются, в частности, в специальном подразделении МВД — оно называется управление «К» . Для группировок вроде Lurk там написали собственную аналитическую программу, выявляющую связи, которые могли упустить следователи, если загрузить в нее собранную информацию: засвеченные IP-адреса, данные серверов, сведения о хакерах, которые ранее проходили по похожим делам.

Полицейские из управления «К» работают в неприметной усадьбе Кирьякова на Петровке, напротив Высоко-Петровского монастыря и в двух минутах от клуба, где часто проходят гей-вечеринки. Заехали они в здание (которое ранее принадлежало поочередно коллекционеру антиквариата, князю Михаилу Оболенскому, ученому-терапевту и зубоврачебной школе) в конце 1990-х, когда было принято решение создать при МВД специальное подразделение по борьбе с киберпреступлениями. «Тогда пошли кардеры, и уже тогда было понятно, что одним из наших основных направлений станет противодействие распространению детской порнографии», — рассказывает мне заместитель начальника управления Александр Вураско.

Эти люди редко ходят на работу в полицейской форме — чаще в джинсах и незаправленных рубашках; у некоторых на руках Apple Watch. Посетителям на входе выписывают ручкой бумажный пропуск; в коридоре на втором этаже стоит застекленный шкаф с подарками, среди них фарфоровая ваза, расписанная под гжель, дар от Службы внешней разведки. Рядом лежит связка баранок.

Работающие в усадьбе занимаются самыми сложными киберпреступлениями, то есть расследуют дела хакеров, объединившихся в группы и хорошо скрывающихся. В управлении несколько десятков сотрудников, для поступления в отдел от них требуют навыков «оперативника, юриста и айтишника одновременно». Находить таких людей сложно, некоторые приходят из Московского университета МВД или Университета имени Баумана, но неизбежно переучиваются.

Каждое утро полицейские собираются в своих отделах на быстрые совещания, каждую пятницу руководство собирает все управление. У многих сотрудников работа часто начинается около пяти утра: в это время принято ездить на задержания. Там, впрочем, бывают не все: технические сотрудники в специальной «чистой» комнате без интернета исследуют изъятые носители информации и другую технику.

«Это в 1999 году можно было именоваться программистом по всему, — рассказывает Вураско. — Сейчас все крайне узкоспециализированно. Бывают ситуации, когда мы не можем самостоятельно разобраться, и не имеет смысл держать штат специалистов, которые декомпилируют вредоносные программы, когда можно обратиться к тем, для кого это хлеб, вроде Group-IB, „Лаборатории Касперского", Positive Technologies. Они могут активно пиариться [на расследованиях], но только мы или ФСБ можем поставить окончательную точку — привлечь к ответственности».

«Наша доблестная милиция не разбиралась тогда в компьютерах, — вспоминал один из хакеров начала 2000-х. — Отдел «Р» (Будущий отдел «К». — Прим. Авт.] через полгода скатился к банальной прослушке за деньги. Крупную рыбу никогда не ловили и не поймают, так как крупной рыбе в России делать тогда было нечего. Банковская система в США и Европе на 50 лет старше нашей, и вариантов для телодвижений там, конечно, больше. Чаще всего люди попадались на случайностях, вещах, не имеющих ничего общего с кар-дин гом».

По словам Вураско, многие российские полицейские до сих пор не разбираются в основах компьютерной безопасности: не знают, что такое IR не понимают, куда отправлять запросы для получения информации по оперативно-разыскной деятельности. Управление «К» часто проводит для следователей и судей курсы, чтобы они понимали, о чем идет речь в делах, связанных с киберпреступлениями.

Управление «К» в последние годы расследовало несколько дел, похожих на Lurk. Работа по ним идет долго: полицейские всегда стараются выявлять всех членов группировки и заводить на них дело как на организованную преступную группировку — иначе, как показывает практика, хакеры получают условные сроки.

— Для общения между собой члены группировок обычно используют jabber-серверы и все основные мессенджеры. Организаторы все ключевые моменты обсуждали по защищенным каналам, — рассказывает Вураско о деталях дела Lurk.

— То есть к ним у вас в итоге не было доступа?

В ответ майор смеется и говорит: «Позвольте мне не отвечать на этот вопрос».

Полицейские из отдела «К» занимаются расследованием только избранных киберпреступлений. Они никогда не расследовали хакерские атаки на российских оппозиционеров и негосударственные СМИ, даже когда им представляли доказательства; к ним крайне сложно обратиться с заявлением о взломе почты или DDoS-атаке на бизнес — такое заявление, скорее всего, не примут.

«В виртуальном пространстве собирать улики и правда гораздо сложнее, чем в физическом, — объяснял Алексей Лукацкий, работающий консультантом по информационной безопасности в Cisco Systems. — Информация собирается по крупицам и требует очень серьезных ресурсов, поэтому атрибуцией злоумышленников занимается мало кто. Если мы говорим о компьютерных преступлениях, которые происходят внутри страны, — например, когда хакерская группировка осуществляет проникновение в банк, — то эти преступления очень плохо расследуются. Ни законодательство, ни квалификация большинства следователей не позволяют эффективно проводить расследование. Все процедуры очень бюрократизированы, поэтому к моменту, когда выдаются ордера на сбор доказательств с видеокамер, логов провайдеров связи и так далее, следы оказываются уже затерты». По словам Лукацкого, действительно хорошо дела такого рода расследуются, «если на стороне жертвы есть компания, которая может собрать и представить доказательства вместо правоохранительных органов», — но и в таком случае суд часто дает преступникам условные сроки, и они продолжают заниматься тем же, чем занимались. Дела чаще всего заводятся по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».

При этом большими группировками вроде Lurk современная российская интернет-преступность, конечно, не ограничивается. Есть у нее и другой огромный сегмент — он находится в даркнете, части интернета, скрытой от лишних глаз. У этого сегмента тоже есть свои главные герои: как и когда-то в случае Carderplanet, ими тоже зачастую оказываются создатели и администраторы форумов.

 

Глава 17 Черный рынок

Автомобиль остановился на обочине рядом с лесом недалеко от МКАД. Из него вышел мужчина со свертком. Он оглянулся, подошел к нужному дорожному знаку, положил сверток с пистолетом и патронами на землю и набросал сверху листьев. Через несколько часов покупатель, знавший про ориентир, забрал «закладку».

Для «закладчика» это уже был обычный ритуал: последние годы он вел двойную жизнь. Семья, друзья, коллеги по работе знали его как любителя дачного отдыха. Он никогда не рассказывал им о том, что уже несколько лет арендует в центре Москвы звукоизолированную мастерскую, где собирает огнестрельное оружие для продажи через подпольные форумы.

Он попал в русскоязычный даркнет около пяти лет назад. Его интересовало все, что нельзя найти в обычном интернете: изготовление печатей, паспортов, наркотиков, оружия. Он зарегистрировался на Runion, одном из крупнейших форумов даркнета в России, под ником Korabas. Зайти на форум можно было через Тог — шифровальную программу, которая, как гарри-поттеровская мантия-невидимка, скрывает пользователя и позволяет заходить на сайты, не индексирующиеся обычными поисковиками. Технологию, на которой работает Тог, создали в лаборатории американского флота в середине 1990-х для защиты американских госучреждений в сети; впоследствии она была рассекречена и передана независимым разработчикам. Сейчас программа — один из самых эффективных способов обходить цензуру в интернете и сохранять анонимность. В 2013-м именно с помощью Тог Эдвард Сноуден передавал часть документов американского Агентства национальной безопасности журналистам.

Изучив форумы, Korabas собрал себе по найденным инструкциям пистолет. На производство ушло больше денег, чем он рассчитывал, но, когда он выставил оружие на продажу, его внезапно купили очень быстро, и Korabas решил не останавливаться и попробовать подзаработать.

Пользователь анонимно арендовал мастерскую, купил несколько станков и дрели. Помещение не отапливается, поэтому комфортно работать получается только весной и летом, но если есть заказы, приходится сидеть и в холоде. Рассказывая свою историю, Korabas часто использует аббревиатуру «емнип» («если мне не изменяет память»); наше общение проходит в зашифрованном чате: показывать лицо или называть свое настоящее имя чужакам люди вроде Korabas совсем не хотят. Разговор наш продолжается несколько дней подряд, иногда в чат добавляются новые участники, которые рассказывают подробности о некоторых операциях в даркнете.

Бизнес быстро развивался — вскоре Korabas нашел продавцов патронов и начал делать глушители. Со временем он стал одним из основных торговцев оружием на Runion. Пока другие занимались перепродажей, Korabas покупал сигнальные пистолеты и переделывал их под патроны 9x18 миллиметров — одни из самых распространенных в СНГ После переделки очередного пистолета Korabas обычно надевает на него глушитель и отстреливает прямо в мастерской в центре города: «Лень возить каждый пистолет в лесополосу на испытания». «В кино пистолеты с глушителем стреляют беззвучно, в реальности же в лучшем случае глушится 50 % [шума]», — рассказывает он.

Продажа оружия в Тог для него — хобби: цены в «магазине» начинаются от 60 тысяч рублей, выходит по одной-две сделки в месяц, так что годовая прибыль получается в районе 500 тысяч. «На квартиру точно не заработаешь», — пишет Korabas и ставит три закрывающие скобки: смеется. Хобби, впрочем, любимое: продавец и сам периодически выезжает пострелять за город. «На стрельбу не беру деньги из семейного бюджета, трачу только то, что заработал в Тог».

Korabas понимает, что его в любой момент могут задержать, а потом посадить на много лет, и ведет себя крайне осторожно. Его компьютер работает на Linux, жесткие диски зашифрованы, в сеть он выходит через Тог, заработанные деньги снимает с пластиковых карт за границей — эти карты выпущены на людей, которых сам Korabas не знает.

Похожей жизнью в русскоязычном даркнете живут тысячи людей. Только на Runion ежедневно заходят две-три тысячи человек. Администраторы и продавцы в Тог, которые часто занимаются деятельностью, попадающей под уголовное законодательство, крайне редко общаются с журналистами: они считают, что любой неосторожный контакт может привести к аресту.

***

Через форумы вроде Runion можно не только купить оружие, но и заказать взлом или сделать себе поддельную личность. Максим ищет себе заказы именно на таких форумах и чаще всего работает через «гаранта» — специального посредника, который замораживает оплату до выполнения заказа и решает спорные вопросы, если они возникают. В основном Максим занимается фишингом : иногда на взлом требуются месяцы: большая часть времени уходит на то, чтобы собрать как можно больше личных данных о жертве. Максим взламывал российских оппозиционеров и уверен, что не раз работал на спецслужбы, хотя они никогда и не говорят о том, что они оттуда.

Максим решил работать в даркнете, после того как его знакомого чуть не посадили за взлом. Таким же путем пришел к своему нынешнему занятию другой хакер — он называет себя Sleepwalker.

Когда его приятель чуть не погорел, не позаботившись об анонимности, Sleepwalker начал создавать цифровые «личности» (или «идентичности»), со временем — продавать их. Кроме того, в русскоязычном Тог он известен как хакер, который за биткоины тестирует сайты на возможность взлома и проводит консультации по анонимности.

Sleepwalker с детства смотрел фильмы о хакерах. «Сидит некий человек, взламывает что-нибудь, на мониторе черный фон, зеленые буквы мелькают, это казалось таинственным», — вспоминает он. На Runion он написал статью «Быть хакером?!», в которой вывел правило: «Хакеры испытывают удовольствие от решения проблем, от нахождения обходного пути, от понимания сути процесса». Там же Sleepwalker учил желающих «собирать доказательства с компьютера подозреваемого» и взламывать страницы во «ВКонтакте» — при этом мне он сказал, что не занимается взломами сайтов и аккаунтов в социальных сетях за деньги. В 2014 году Sleepwalker даже демонстративно украл почту и аккаунт «ВКонтакте» у школьника, который спросил, сколько будут стоить услуги по взлому.

Несколько лет назад Sleepwalker получил доступ к базе сканов паспортов и других документов. Он добыл ее случайно, когда перебирал пароли на сервере одного из магазинов. После этого хакер начал «специально извлекать» сканы документов у различных компаний и создавать под них «личности» в интернете.

Работу над каждой «личностью» он начинает с того, что придумывает человеку историю. После — начинает ими «жить». Для «личности под ключ» хакер регистрирует несколько аккаунтов в социальных сетях с фотографиями и 200–300 друзьями; заполняет их «продуманными интересами и мелкими деталями»; пишет на страницах посты на темы, подходящие «личности», и моделирует ее язык; регистрирует на «личность» кошельки в «Яндексе» и Qiwi; регистрирует на нее номер телефона; в редких случаях получает доступ к интернет-форумам, чтобы оставить там комментарии «личности».

Работа над «личностью» занимает около месяца. За несколько лет Sleepwalker продал около сотни личностей, получив за каждую 50-100 долларов.

«В создании достаточно учесть основные факторы, по которым люди в сети считают, что личность настоящая, и тогда можно стать кем угодно для провайдера, обычных людей, правоохранительных органов, — рассказывает хакер. — Это может пригодиться для различных дел вроде шантажа, позволит не только создать впечатление определенной личности, но и действительно быть ей в рамках виртуального пространства. Например, принимать и отправлять деньги, общаться от лица виртуала».

Sleepwalker говорит, что сложнее всего в этой работе обладать знаниями «личности», которую создаешь, то есть писать правильным языком и оставлять неглупые комментарии. «Иногда аккаунт получается живее, чем иные аккаунты обычных юзеров сети, — говорит он. — Как-то меня попросили создать умную, красивую девушку для привлечения иностранцев в фейсбук и их развода на деньги. Они полились рекой».

В разное время Sleepwalker создал «личности» студента, ищущего приключения, девушки, интересующейся даркнетом, копирайтера.

А для себя — старика-рыбака. Под него он подобрал сканы паспорта, зарегистрировал виртуальные карты в «Яндекс-кошельке», Qiwi, профиль на Avito. Страницу во «ВКонтакте» заполнил не до конца: «человек старый, так что так и надо».

В обычном интернете Sleepwalker чувствует себя неуютно: «Возникает ощущение подконтрольности чему-то или кому-то».

***

18 июня 2016 года со мной связался представитель Runion, крупнейшего русскоязычного форума в даркнете. Он предложил взять интервью у «одного из самых уважаемых и влиятельных людей русскоязычного сегмента». Им оказался Nikkon — человек из администрации форума, в работу которого входит гарантирование сделок: он следит за тем, чтобы продавали то, что заявляют, и по условленной процедуре. В эти же дни Госдума начала рассматривать «пакет Яровой» — группу «антитеррористических» поправок, которые в том числе наносят удар по приватности в интернете. Намерение поговорить представитель Runion объяснил в том числе своим желанием донести до аудитории: Тог безопасен для общения, и там собираются не столько педофилы и продавцы наркотиков, сколько люди, которые ценят свободу распространения любой информации.

За два года до этого, осенью 2014 года, Nikkon сидел вечером в номере московского отеля, пил вино и читал свой форум. Закончив дела раньше, чем планировал, он ожидал самолета, который вылетал только через день. Во время командировки он часто думал о подарке для своей девушки — «хотелось чего-то небанального».

Один из знакомых по Runion обратился к нему с неожиданным предложением — помочь с продажей партии изумрудов.

Как официальный гарант форума, Nikkon периодически проводил сделки по продаже наркотиков и оружия: проверял товар и получал процент, зарабатывая от трех с половиной тысяч долларов в месяц. Впрочем, работой это администратор Runion все равно не считает. «Доходы от этой деятельности и основная зарплата, увы, несравнимы, — говорит он. — Может быть, учитывая темпы роста рынка, через пару лет [ситуация изменится]».

Nikkon ответил знакомому, что согласен на сделку. В его задачи входило принять деньги покупателя, подтвердить их наличие и дождаться от продавца отмашки о передаче товара; качество самих изумрудов проверил другой человек.

Заканчивая сделку, он решил купить немного драгоценностей для подруги. Nikkon впервые оказался в «шкуре клиента»: как и любой человек, поднимающий «закладку», он волновался, что может случайно нарваться на полицейский патруль: за незаконную торговлю драгоценностями в России можно получить до 5 лет тюрьмы. Обошлось, но после этого он старался не покупать ничего в даркнете.

К тому моменту Nikkon провел на Runion около года. Туда он перешел с форумов кардеров — тех, что появились после закрытия Carderplanet.

Nikkon утверждает, что сам не занимался кардингом, а «только читал и интересовался». В Тог он оказался из-за «тяги к знаниям, недоступным в открытых источниках». В тот момент, по его воспоминаниям, Тог представлял собой «хрестоматийное собрание предрассудков, тянущихся за ним до сих пор»: детское порно, пугающие загадочные страницы вроде игр-лабиринтов со звуковым сопровождением из детского плача. Из-за подобных сайтов подпольный интернет быстро вошел в подростковую мифологию русскоязычных нетсталкеров (исследователей интернета) как место, где на «особых уровнях» можно найти истину. На «Ютьюбе» можно найти ролики о последнем уровне «глубокого интернета» — «тихом доме», где якобы хранится информация «о боге / смерти / жизни и все, что только захотите».

Изучая сетевое подполье, Nikkon наткнулся на англоязычный форум со статьями о шифровании и наркотиках. Он воспринял их как неожиданное «богатство» — из-за «неклассической» тематики. Потом нашлись и другие форумы — многие из них, впрочем, быстро прекращали свое существование. Nikkon помнит, например, падение Freedom Hosting: в 2013 году владельца серверов, где размещались десятки Тог-сайтов, арестовали и назвали «крупнейшим посредником для распространения детской порнографии на планете». Собеседник назвал закрытие проекта «первым серьезным ударом по Тог». ФБР после заявляло , что контролировало серверы еще до ареста владельца.

Уязвимость Freedom Hosting напугала многих и в русскоязычной части Тог; впрочем, ущерб ограничился несколькими рухнувшими сайтами. Основные площадки — ими стали четыре сайта: Runion, RAMP R2D2 и Amberoad — продолжали работать. Их создатели ориентировались на своих англоязычных коллег и в первую очередь на сайт Silk Road, вокруг которого к тому времени уже сформировался своего рода культ.

***

В конце 2010 года молодой американский либертарианец Росс Ульбрихт, работавший в книжном магазине, записал в своем дневнике новую идею: «Создать сайт, где люди могли бы купить анонимно что угодно, не оставляя следов, по которым их можно было бы выследить». Несколько месяцев спустя он запустил Silk Road — цифровую ярмарку всего на свете; первым проданным товаром стали выращенные самим Ульбрихтом псилоцибиновые грибы. Вскоре подтянулись и другие торговцы. Silk Road первым объединил Тог и биткоины; пользоваться им вообще было достаточно просто: например, товары зачастую рассылались по почте в коробках от DVD. Именно благодаря Silk Road тысячи пользователей «обычного интернета» узнали и о Тог, и о сетевой анонимности.

Узнали о Silk Road и спецслужбы, которые в январе 2012-го организовали специальную группу, искавшую создателей сайта. К тому моменту сам Ульбрихт зарабатывал по 25 тысяч долларов комиссионных в месяц за покупки через портал и фигурировал на Silk Road под именем Ужасный пират Робертс (Dread Pirate Roberts) — площадку он использовал не только для заработка, но и для публикации либертарианских проповедей: «Я создал новый тип экономики, чтобы люди почувствовали, как это — жить в мире без влияния власти». Он был уверен, что каждая сделка на его площадке — шаг к всеобщей свободе.

В итоге американские спецслужбы раскрыли Ульбрихта и задержали его в библиотеке Сан-Франциско. В мае 2015 года его приговорили к пожизненному заключению. Перед вынесением приговора Ульбрихт написал судье письмо: «Суть Silk Road должна была сводиться к тому, чтобы дать людям свободу принимать самостоятельные решения. <…> На деле это обернулось удобным средством удовлетворения человеческого пристрастия к наркотикам. Я понял, что, давая людям свободу, никогда не знаешь, что они сделают с ней».

Своими идеями Ульбрихт вдохновил многих для создания в 2012 году манифеста российского киберподполья, который часто стали использовать на форумах в даркнете: «Интернет стал опасен для человека, у нас хотят отобрать право обмениваться информацией, он становится подконтрольным, свободу слова ограничивают, людей, распространяющих свои идеи, преследуют, камерами хотят контролировать каждый шаг». Помимо этого, авторы манифеста указывали, что они люди «с обостренным чувством справедливости», продажа оружия на форуме объясняется тем, что «мы хотим сами решать, как и чем обезопасить себя и своих близких», продажа наркотиков — «Мы сами хотим контролировать то, что попадает в наш организм».

 

Глава 18

Главный спамер России

1 апреля 2013 года на форуме «Античат» появился пост одного из самых известных российских хакеров — он действовал под ником Severa:

Меня зовут Петр Севера, многие меня знают по сервису рассылок по электронной почте [92] , который я предоставляю уже ПОЧТИ 15 лет. Но все течет, все меняется, и пришло время и мне сменить направление работы. Несколько дней назад я получил предложение от ЦИБ ФСБ РФ возглавить новый Отдельный Специальный Батальон Информационной Безопасности (ОСБИБ).

Это новое подразделение, которое создается для оказания противодействия кибервойскам США, Китая, Германии и других стран. В задачу ОСБИБ будет входить как оперативное устранение информационных и электронных угроз важнейшим инфраструктурным объектам Российской Федерации, так и адекватные и оперативные ответные действия на возникающие угрозы.

Мне поручено не только возглавить, но и создать основной состав ОСБИБ. Естественно, все предложенные мной кандидатуры будут обсуждаться руководством управления К и ЦИБ ФСБ, но мне дали понять, что у меня есть почти полный карт-бланш на первоначальный состав. Полная численность ОСБИБ через год будет порядка 500 человек, пока мне поручено набрать первую сотню. Для нас не важно, чем вы занимались до этого, важно то. что вы умеете и знаете, а также желание защищать свою Родину и своих близких от реальных угроз 21 века.

Требования к кандидатам:

— гражданство РФ, возраст от 18 до 45 лет, глубокие и всесторонние знания в области информационной безопасности и в смежных областях, умение быстро находить неординарные решения, умение работать в команде.

Наличие высшего технического образования является плюсом, но не будет обязательным, гораздо важнее то, что вы реально умеете. Наличие законченной военной кафедры или пройденной срочной службы в Вооруженных Силах РФ также является плюсом.

Все те, кто будет отобран мной, получат после испытательного срока весь набор благ офицеров ФСБ РФ, а в дальнейшем и реальные офицерские звания. Место работы — Москва. Сколково, сейчас строится отдельное режимное здание для сотрудников ОСБИБ. Проживание для вас и вашей семьи за счет работодателя в отдельном коттедже, в благоустроенном поселке, ЗП — обсуждается индивидуально, от 150 т.р. и выше.

Я уже начал формировать списки на первичное собеседование, присылайте резюме мне в жабу [email protected] . Если вы участвовали в разработке чего-то нелегального, типа ботнетов, взлома сайтов и тп, прикладывайте к резюме отдельную пояснительную записку, дальше меня она не пойдет — хотя всем соискателям и обещана полная амнистия, гарантировать что не будут преследовать тех, кого я не выберу, я не могу. Так что лучше подстраховаться, в официальном резюме указывайте только законную информацию.

Родина вырастила нас, дала нам всем образование, теперь пришло и наше время послужить России.

Другие участники форума быстро начали отвечать: «Привет хачу в батальен что надо делать?», «Ржака. Приходите, хакиры — всех помилуем и косточку дадим, будете работать на хозяина». Были и те, кто воспринял первоапрельскую шутку серьезнее: в конце концов, Беуега был одним из немногих российских киберпреступников, начинавших в 1990-х, кто к тому времени оставался на свободе.

Петр Левашов, впоследствии взявший себе ник Эеуега, родился в Ленинграде в августе 1980 года и окончил физико-математическую гимназию, продолжавшую традиции советских матшкол (см. главу 5). В школе он увлекся и хакингом — и вскоре стал известен как создатель сетей ботов, использовавшихся для спамерских рассылок, и автор поддельных антивирусов: «проверив» компьютер, они выдавали пользователю сообщение о найденных проблемах и требовали денег за «лечение». Левашов-Беуега был модератором спам-разделов на подпольных русских хакерских форумах; часто связывал хакеров между собой, знакомил новичков с основами профессии, помогал настраивать бот-сети.

Как рассказывает один из моих собеседников, знакомый с деятельностью Левашова, с середины 2000-х 8еуега внезапно стал предлагать другим участникам форумов помогать государству в интернете — атаковать сначала сайты чеченских террористов, а потом российскую оппозицию. Об этом же писали журналисты Андрей Солдатов и Ирина Бороган. При этом чеченские террористы рассказывали, что им пришло письмо от «хакера Самуэля из ФСБ», в котором он предлагал остановить атаки при выполнении условий: «Цена вопроса 100 000 долларов. Можно договориться. Бен Ладен не обеднеет». Левашов призывал хакеров атаковать и хостинг-провайдеров в Швеции и Литве, где предоставляли место для сайта «Кавказ-Центра». В те же годы, по словам нескольких моих собеседников-хакеров, Левашов начал сдавать свои бот-сети в аренду прокремлевским молодежным движениям.

Зимой 2012 года ботнет Левашова включился в российскую предвыборную кампанию: он рассылал письма, рассказывающие о гомосексуальности кандидата в президенты Михаила Прохорова. В гомофобной стране это означало черный пиар; в письмах размещались ссылки на материал с якобы цитатой из Прохорова: «Всем знающим меня давно понятно, что я — педик».

Другие хакеры не раз подозревали Severa в том, что он сотрудничает со спецслужбами и, например, помогал им ловить участников форума Carderplanet. По словам одного из моих собеседников, Левашов — в отличие от других людей из киберподполья — вплоть до конца 2000-х продолжал пользоваться ICQ, но его не арестовали, хотя мессенджер к тому времени принадлежал Mail.ru и спецслужбы легко могли получить к нему доступ.

Сам Severa рассказывал , что занимается спамом с 1999 года, и называл себя «одним из самых живучих спам-королей интернета». За миллион рекламных доставленных писем он просил 200 долларов; за миллион писем с фишингом — 500 долларов. Ему поступало до пятнадцати заказов в день. «Я заинтересован в крупных клиентах и активно стимулирую это большими скидками. Чем больше объем заказа, тем больше скидка», — писал он. Как и другие киберпреступники, Левашов почти никогда не работал в России, объясняя это «делом принципа»: «Сорри, это моя Родина». Когда в 2014 году началась война на Донбассе, хакер объявил, что вводит 30 % скидки на рассылки по Украине, США, странам ЕС и «прочим, кто ввел санкции»: «Для получения данной скидки необходимо ДО оплаты заказа назвать пароль: „Спасите жителей Донбасса от президента-пидораса"».

В начале апреля 2017 года Левашов вместе с женой и 4-летним ребенком отдыхал в Барселоне. Однажды ночью к ним в апартаменты, взломав дверь, ворвались полицейские и положили всех на пол. Левашова арестовали и обвинили в создании ботнета.

Жена Левашова рассказывала , что во время обыска сотрудники спецслужб отобрали у них все электронные устройства и заявили, что задерживают хакера из-за того, что «вирус, который якобы создал мой муж, связан с победой Трампа на выборах». Она же заявила, что у семьи никогда не было «сумасшедших денег», а Левашов — никакой не хакер: компьютер он использовал в основном для игр.

Из Барселоны Левашова перевезли в Мадрид, где он предстал перед судом и рассказал, что десять лет работал на партию «Единая Россия», собирая информацию про российскую оппозицию. Левашов заявил, что боится экстрадиции в США: «Меня подвергнут пыткам, в течение года я буду убит или покончу с собой, [они] хотят получить информацию военного характера и про партию „Единая Россия"».

«Единая Россия» отрицала сотрудничество с Левашовым, а МИД добивался того, чтобы хакера не выдавали США, обвиняя американские власти в том, что они действуют «исподтишка», задерживая россиян, когда те выезжают за границу. Ведомство пыталось добиться экстрадиции хакера в Россию, мотивируя это тем, что в 2014 году он взломал компьютеры одной санкт-петербургской больницы, но испанский суд в итоге удовлетворил запрос американского правительства. В феврале 2018 года хакера перевезли в США.

Там Левашова обвинили вовсе не во взломах в пользу российского государства, а в создании ботнета Kelihos, в который входило более 100 тысяч зараженных компьютеров. Американские власти считают, что ботнет использовался не только для спама, но и для DDoS-атак и похищения данных с зараженных устройств.

Российское посольство в США заявило, что «глубоко обеспокоено ситуацией с Петром Левашовым, который стал очередной жертвой „охоты" американских спецслужб за россиянами по всему миру». Дипломаты, посетившие хакера в тюрьме, рассказали, что с ним жестко обращаются: «Российский гражданин был помещен в маломерную одиночную камеру размером два на два метра, в которой практически отсутствует освещение. В камере подвергается постоянному шумовому воздействию, исходящему со стороны соседних помещений. По этой причине, а также из-за отсутствия подушки и матраца он лишен полноценного сна. Кроме того, ему запрещены общение с другими заключенными, прогулки на свежем воздухе, а также телефонные звонки родственникам в Россию».

В США Левашов признал себя виновным в мошенничестве и преступлениях в сфере компьютерной безопасности и хищении личных данных. Ему грозит до 50 лет заключения, приговор вынесут осенью 2019 года.