Как ФБР вычислило «имантского хакера»

В эпопее с "имантским хакером" Денисом Чаловским самым интересным кажется то, как американцы открыли, кто прячется под ником Miami. Ведущий исследователь Института математики и информатики Латвийского университета Бруно Мортузанс п на сайте esidross.lv попытался реконструировать всю эту историю.

Иманта — бо-о-ольшой город, тут много молодых людей с компьютерами. Что указало конкретно на Дениса Чаловского? Федеральное бюро расследований США (ФБР) не собирается открывать ход расследования, но опубликованные материалы позволяют его достаточно точно реконструировать.

Вот только один факт из находящегося в публичном доступе обвинения в адрес Чаловского, которое ФБР предоставило суду присяжных, чтобы тот оценил, произошло ли преступление и следует ли отдать под суд Чаловского. Здесь утверждается, что Miami продал особую программу, предназначенную для вируса Gozi, в январе 2011 года. Программа распространялась с помощью вируса и изменяла вид банковских сайтов, размещая на них просьбу предоставить различную информацию, в том числе и о банковских картах.

Группой Gozi руководил приемный сын рок-музыканта Кузьмина

Прежде чем начать обсуждать факт продажи, стоит напомнить, что у международного хакерского сообщества есть свое организованное пространство, свои интернет-форумы, свои группировки. Они активно общаются между собой, обмениваются информацией, спорят над решениями, строят планы на будущее и, что главное, создают рынок программ, предназначенных для преступных целей. Конечно, какую-то защита у них есть, но полностью закрыться от внешнего мира нельзя. Легко догадаться, что ФБР следит за этими действиями и достаточно знает про них.

Группа вируса Gozi, в которой участвовал и Miami, а идеологическим лидером был российский хакер Никита Кузьмин, именно так и работала. Изначально Кузьмин торговал самим вирусом, но когда он перенес свою деятельность в США, то, главным образом, продавал информацию, полученную с помощью вируса, в том числе и ту, которая была добыта созданным Miami дополнением к вирусу.

О покупателях этой информации сведений нет, но именно они снимали деньги со счетов жертв, организовывали перевод средств на контролируемые преступниками счета и дальнейшее снятие денег уже с них. Именно изъятие денежных средств — важнейший момент всей аферы, так как деньги переходят из виртуальной среды в реальные денежные единицы, без этого этапа у всей деятельности нет смысла. Это критический момент, потому что снимающий деньги может быть пойман и не имеет возможности спрятаться под ником. Для операции были найдены любители легкой наживы, которые были готовы рисковать и за сравнительно хороший процент (около 10%) снять деньги, отдав оставшуюся часть тем, кому укажут. Этих людей называют мулами.

Группа вируса Gozi развернула свою деятельность в США в середине 2010 года и, судя по всему, она оказалась весьма успешной. Уже 19 ноября этого же года Кузьмин сообщил своим товарищам по группе, что отправляется в Таиланд, потом еще куда-то... И пропал на некоторое время. На самом деле он пытался из Таиланда попасть в США.

В это время ФБР уже хорошо знало о роли Кузьмина в опустошении банковских счетов при помощи вируса Gozi, так как с многократными судебными санкциями велась слежка за его перепиской и разговорами. Естественно, чисто технически они могли отследить только его контакты с живущими в США друзьями и компаньонами.

В результате были выяснены все его ники, вся бизнес-деятельность. Также информация о нем собиралась из различных социальных сетей, тут обнаружились его фотографии, фотографии его семьи (он — приемный сын известного в России рок-музыканта Владимира Кузьмина), фото его машины (BMW, 6 модель, кабриолет), фотографии его девушки и так далее. Ну ладно, допустим, до фотографий девушки они не добрались, но узнали, что он хотел опубликовать их на обложке российского издания Playboy как подарок на день рождения девушке.

Эти фотографии Н. Кузьмина можно было сравнить с фотографией, сделанной при оформлении визы в США в 2009 году. Когда 27 ноября 2010 года он прилетел в Сан-Франциско, агент сличил их с фото в его паспорте, чтобы убедиться, что это действительно нужный человек. В конце концов, граждан России по имени Никита Владимирович Кузьмин могут быть десятки. Все совпало, и Кузьмин действительно пропал. Только не так, как ему хотелось. Правда, не сразу, несколько дней у ФБР ушло на оформление ордера на арест. Но потерять Кузьмина они уже не могли — заполняя анкету на въезд, необходимо указывать, в какой гостинице собираетесь жить.

Легко понять, что ФБР не стало тратить силы, сообщая на хакерских форумах, что личность с такими-то никами задержана, дает показания и готова всячески сотрудничать с расследованием. Жизнь на форумах текла своим чередом, появлялись новые вопросы, шли продажи и покупки.

Сделка Чаловского

Итак, 27 ноября Кузьмин был задержан, и через полтора месяца, в январе Miami продает дополнение для вируса Gozi. Кому он это продал? Не Кузьмину же, ему оно больше не было нужно. А кому? Подумайте! Подумайте еще! Да, скорее всего, счастливым покупателем было само ФБР. И даже если не было, ясно, что эта сделка шла под наблюдением.

Вполне возможно, что сам Кузьмин абсолютно не знал, кто такой Miami. ФБР утверждает, что россиянин контактировал с одним из своих сообщников, тот — со своим знакомым, и уже этот третий заказал Miami создание дополнения к вирусу. Однако Кузьмин мог давать и давал ценные советы, как лучше всего купить программу, чтобы не вызвать сомнений. Надо учитывать, что сама программа у ФБР уже была, была и информация о деятельности Miami, так как программу все время нужно было обновлять и модернизировать, а для этих целей хакеру приходилось связываться с заказчиками, которые уже попали в поле зрения ФБР. Таким образом ФБР легко узнало IP-адрес компьютера Miami, по которому компьютер можно найти в интернете. По этому адресу не трудно обнаружить местонахождение компьютера в Иманте и имя его владельца.

Однако ловкие люди умеют манипулировать IP-адресами и действовать с чужого компьютера. Поэтому найденный ФБР владелец компьютера мог объявить, что ничего не знал, его компьютер зомбирован, а он сам ничего не смыслит в вирусах, не говоря уже о дополнениях к ним. Что Чаловский сейчас и делает.

По этой причине для ФБР было важно не получить программу, а заплатить что-нибудь Miami, еще точнее — узнать, как можно заплатить. Какому-то Miami заплатить нельзя, надо знать настоящий счет реального человека. Поэтому естественно, что покупатель запросил информацию о банковском счете, на который нужно перевести деньги, и Miami, конечно, дал реквизиты — своего счета, точно уж не чужого. Осталось сравнить имя владельца компьютера с именем владельца счета. Они совпали, и капкан захлопнулся. Между прочим, когда в свое время Никита Кузьмин сообщил свой банковский счет одному из компаньонов, этот факт тоже не прошел мимо зоркого глаза ФБР.

Но и это еще не все. Конечно, рассказы, что некто украл паспорт Дениса Чаловского и после этого создал неизвестный ему банковский счет, не имеют смысла, так как в банке есть не только копия паспорта клиента, но и записи видеонаблюдения за операционным залом. К тому же большая часть банкоматов записывает каждый случай изъятия денег. Но осталась возможность утверждать, что Чаловский ничего про дополнение к вирусу не знал, компьютером руководил кто-то издалека, а деньги с банковского счета он снял и отдал неизвестному бомжу, живущему в Имантском лесу, который очень просил снять эти деньги, а потом пропал. Проще говоря, Чаловский якобы работал мулом, что, между прочим, в США тоже считается уголовным преступлением.

Именно для того, чтобы такие отговорки не были возможны, понадобилось организовать группу, которая перепугала всю Иманту, когда с крыши проникла в комнату Чаловского и поймала его у работающего компьютера с открытыми файлами, со всеми письмами, сохранившимися в почтовом ящике. И, конечно, теперь можно было легко определить, если ли в компьютере разработки вируса, а также есть ли программа, позволяющая управлять им издалека. Если бы некто заранее предупредил Чаловского, тот мог бы очистить свой компьютер, но быстро и бесследно стереть всю опасную информацию не получилось, поскольку разработка различных вариантов дополнения к вирусу на протяжении нескольких лет создала достаточно большой архив файлов.

ДОКУМЕНТ: www.justice.gov.