Украинский хакер, ставший лучшим оружием и кошмаром ФБР

Как-то раз в четверг, в январе 2001 года, Максим Игоревич Попов, 20-летний украинский мужчина, заметно волнуясь, вошел в дверь посольства Соединенных Штатов в Лондоне. Попова можно было принять за студента по обмену, ждущего получения визы, но на самом деле он был хакером и входил в состав восточноевропейской группировки, которая совершала нападения на американские компании, а также занималась вымогательством и мошенничеством.

Целая волна подобных атак возвестила о начале нового типа холодной войны, войны между Соединенными Штатами и организованными преступными группировками в бывшем советском блоке, и Попов, полноватый мужчина с детским лицом, в очках и с коротко подстриженными волосами, был готов стать первым перебежчиком периода нового конфликта.

Четыре месяца телефонных звонков и два предшествовавших визита в посольство привели Попова к его цели. На этот раз он встретился с заместителем атташе ФБР по правовым вопросам для того, чтобы представить свой паспорт и обсудить окончательные договоренности. Вскоре после этого, пробравшись сквозь зимний холод на площади Гроувенор-сквер, он оказался в гостиничном номере, зарезервированном для него американским посольством. Попов открыл свой ноутбук, а также находившийся в номере минибар и стал читать полученные по электронной почте сообщения — все это время он потягивал из маленьких бутылочек виски, пока полностью не отключился. На следующий день, 19 января 2001 года, Попов в сопровождении сотрудника ФБР оказался на борту направлявшегося в Соединенные Штаты самолета компании TWA.

Попов нервничал, но пребывал в возбужденном состоянии. Он расстался со своими родителями, а также со всем тем, что было ему знакомо, однако в Соединенных Штатах ему предстояло стать чем-то большим, чем просто почтительным сыном и студентом. Попов был также разыскиваемым человеком, вовлеченным в международную интригу — как герой одной из книг в жанре киберпанк, который ему нравился. Теперь ему предстоит воссоздать себя за счет продажи правительству за приличную цену своих знаний о компьютерной безопасности, а затем он намерен перекочевать в какой-нибудь интернетовский стартап и стать богатым.

Однако после приземления самолета стало ясно, что достигнутая договоренность будет выглядеть несколько иначе. Бывший ранее дружелюбным агент ФБР затолкнул Попова в изолированную комнату, а затем появился вновь через час в сопровождении федерального прокурора, адвоката защиты и с предложением на его усмотрение. Попову предлагалось стать информатором — он будет работать весь день, каждый день и будет пытаться заманить своих криминальных партнеров в расставленные ФБР ловушки. А если откажется, то будет сидеть в тюрьме.

Попов был в шоке. Он чувствовал себя как durak — его развели, как дурака. За ним было установлено круглосуточное наблюдение в одном из специальных конспиративных домов в районе Фэйр Лейкс, штат Виргиния, и ему предложили вести разговоры в русских чатах, в то время как представители Федерального бюро расследований все записывали. Он сделал вид, что согласился на сотрудничество, однако, используя русские разговорные выражения, он предупредил своих сообщников о том, что его привлекли к участию в правительственной операции. Когда агенты через три месяца получили, наконец, перевод его сообщений, они бесцеремонно вытащили его из удобного конспиративного дома и поместили его в небольшую окружную тюрьму, после чего ему были предъявлены обвинения в связи с совершенными ранее киберпреступлениями.

Попов открыто демонстрировал неповиновение. «Да пошли вы все, куда подальше, — сказал он. — Вы не представляете, с чем вы связались». Однако он был напуган. Прокуроры по всей стране были настроены на то, чтобы вынести ему обвинительный приговор. Казалось, что ему грозит будущее, состоящее из бесконечных тюремных камер и анонимных американских залов суда.

Однако в захолустном отделении ФБР в городе Санта-Анна, штат Калифорния, энергичный агент по имени Эрнст «И Джей» Хилберт (Ernest «E. J.» Hilbert) понял, что правительство нуждается в Попове так, как ни в ком другом.

Хилберт понимал, что Соединенные Штаты находятся в критической точке в том, что касается компьютерных преступлений. В 1990-е годы хакерство было, в основном, видом спорта во время досуга. Однако в 2000 году стали появляться первые свидетельства перемен, и исходили они из Восточной Европы. Эти сигналы были везде, если знать, куда смотреть: типы взломанных хакерами веб-сайтов, количество спама и рассылаемых по электронной почте фишинговых сообщений, первый рост потерь от мошенничества с кредитными картами после нескольких лет устойчивого спада. Хакерство превращалось в профессиональное и ориентированное на получение прибыли занятие.

В 2001 году украинские и российские хакеры дебютировали на веб-сайте под названием CarderPlanet, который демонстрировал еще более зловещее качество андерграунда — масштабируемость. Интернет-ресурс CardPlanet стал воровским рынком для покупки и продажи номеров взломанных кредитных карточек, паролей, украденных банковских счетов и персональных данных. Там работала платная реклама, похожая на eBay система обзоров, а также электронный форум. Впервые вор, собирающийся заниматься кражей личных данных, имел возможность собрать весь необходимый для совершения преступления первичный материал на одном сайте. На нем зарегистрировались тысячи пользователей.

Хилберт почувствовал, что у него появилась возможность «взломать» этот мир и проникнуть в него. Но для этого он должен был «взломать» обиженного хакера, который один раз уже обвел вокруг пальца ФБР.

Макс Попов вырос в городе Житомире, имеющем тысячелетнюю историю и расположенном в двух часах езды от Киева. Попов рос в то время, когда Украина пыталась найти свое место в постсоветский период. Он рано познакомился с компьютерами, а базовые знания в этой области он получил в школе, работая на громоздком клоне IBM XT украинского производства, который назывался «Поиск-1». Когда ему было 15 лет, отец принес домой персональный компьютер и модем, и Попов подключился к сети.

Вскормленный на литературе в жанре киберпанк, а также на вышедшем в 1995 году фильме «Хакеры» (Hackers), Попов с самого начала знал две вещи: он будет человеком вне закона в компьютерном мире и заработает на этом много денег. Он нашел немало таких же, как он сам, наемников в русскоговорящих секторах интернета. В конце 1990-х годов во всех бывших советских республиках было полно продвинутых молодых программистов, которые были доведены до состояния бедности из-за отсутствия перспектив в области высоких технологий. Хакеры устроили свою собственную золотую лихорадку в интернете — они начали воровать номера кредитных карточек с американских коммерческих сайтов.

Попов не был особенно хорошо подготовлен в техническом отношении, в отличие многих других молодых людей из его когорты, однако у него был талант, позволявший ему управлять и манипулировать людьми, и, кроме того, у него были способности в области языков. Он начал делать деньги за счет «обналичивания» украденных номеров кредитных карточек — для этого, используя свой почти безупречный английский, он делал мошеннические заказы в американских сотовых компаниях и у компьютерных ритейлеров. В течение года это был хороший бизнес, однако магазины в конечном итоге стали проявлять озабоченность по поводу восточноевропейских адресов доставки, и эта схема перестала работать.

В то же время местные гангстеры узнали об онлайновых мошеннических схемах Попова, и их представители начали появляться у него на квартире, требуя от него наличные. Попов попытался сам заняться вымогательством. Он и его команда взламывали компьютеры различных компаний и похищали данные клиентов, после чего Попов устанавливал контакт с ними и предлагал свои услуги в качестве «консультант по компьютерной безопасности», а также обещал хранить в тайне данные о взломе в обмен на деньги.

В июле 2000 года эти хакеры взломали компьютеры платежной системы E-Money, ныне уже не существующего провайдера электронных платежей, главный офис которого находился в Вашингтоне, округ Колумбия, и похитили данные о кредитных карточках 38 тысяч клиентов. Затем он и его команда взломали веб-сайт компании Western Union и завладели данными 16 тысяч клиентов, включая имена владельцев, пароли, адреса и номера кредитных карточек. Попов затем связался с представителями этих компаний и предложил прекратить проникновение и похоронить похищенные данные в обмен на оплату его консультационных услуг в размере от 50 тысяч долларов до 500 тысяч долларов.

Результаты контактов не предвещали ничего хорошего. Компания E-Money затягивала переговоры и в тайне сообщила обо всем ФБР, тогда как фирма Western Union публично объявила о взломе, и таким образом надежды Попова получить деньги за молчание были похоронены. Его усилия не дали никаких результатов, тогда как давление со стороны местных головорезов усиливалось. Попов ощущал себя в Житомире, как в западне, пытаясь найти в своей жизни баланс между мошенническими схемами и грозящим насилием со стороны бандитов. Он стал рассматривать возможность совершения смелого шага — обращения к американской полиции. Он рассчитывал покинуть Украину и представить себя в качестве раскаявшегося хакера и эксперта в области компьютерной безопасности в стране безграничных возможностей.

И вот теперь он оказался в тюрьме в Сент-Луисе, расположенной недалеко от офисных помещений той самой компании Western Union. По крайней мере, он оставался там до тех пор, пока его не разыскал агент Хилберт. Строгий семьянин, похожий на отца из комедий положений 1950-х годов, Хилберт был воплощением федерального агента — серьезный взгляд, аккуратные волосы каштанового цвета со строгим пробором. В возрасте 29 лет он отказался от карьеры школьного учителя истории для того, чтобы реализовать свою мечту — носить значок сотрудника ФБР. Его первое дело помогло ему утвердиться в качестве агента, занимающегося киберпреступлениями.

Сначала он смог связать взлом компьютеров одной компании в Анахайме, штат Калифорния, с деятельностью активного хакера, находившегося в районе российских Уральских гор, а затем ему удалось заманить этого подозреваемого в Сиэтл, где сотрудники ФБР его и арестовали. Хилберт вырос в пригороде Сан-Диего, и он сам занимался безобидным хакерством под псевдонимом Idolin, представлявшим собой древнее обозначение призрака или духа. Хилберт понимал, что Попов с его родным русским языком и опытом хакера имеет возможность посещать подпольные разделы чатов и форумов, заводить там знакомства, а затем предоставлять ФБР необходимые доказательства и наводки. Весь фокус этой комбинации будет состоять в том, чтобы осторожно обращаться с Поповым, стимулировать его эго и уважительно относиться к его навыкам.

Хилберт обсудил свой план с одним из прокуроров в Лос-Анджелесе, который уже занимался делом в отношении этого украинского хакера, и вскоре оба они уже сидели напротив Попова и его адвоката в офисе прокурора США в Сент-Луисе. Они рассказали ему о возможной сделке. Попову зачтется то время, которое он провел в заключении по делу в Миссури, а правительство объединит все остальные дела в Южной Калифорнии, где Попов сможет снять с себя все имеющиеся обвинения, став тайным агентом ФБР.

На этот раз Попову не нужно будет подставлять своих друзей. Его мишенями будут иностранцы, которым Попов ничем не обязан. Хилберт назвал это операцией по сбору разведывательной информации, то есть, по его мнению, это похоже на ту работу, которую мог бы выполнить Джеймс Бонд. «Я, на самом деле, высоко ценю ваши навыки», — сказал Хилберт. Попов подписал предложенную ему сделку о признании вины в марте 2002 года, и в результате Хилберт получил своего крота.

Попов был не в состоянии отказаться от возможности продемонстрировать свои навыки, и как только он был доставлен на специальном самолете для заключенных в Калифорнию, в тюрьму города Санта-Анна, он сразу же засел за компьютер. Он обнаружил, что этот компьютер был подключен к другим сетям в тюрьмах, и с помощью нескольких ударов по клавишам Попов направил «вульгарные комментарии и замечания» — так позднее было сказано в дисциплинарном отчете, — которые были напечатаны подключенными к сети принтерами. Сотрудники тюрьмы поместили его в камеру строгой изоляции, но Попов об этом не жалел, поскольку даже самый маленький взлом был для него как луч солнца.

Тем не менее, в августе произошло облегчение условий содержания, когда Хилберт и еще один агент забрали Попова для первого дня работы. В соответствии с процедурой, которая вскоре станет привычной, агенты ФБР подводили Попова в кандалах и в наручниках к своему автомобилю. После небольшой поездки они открывали заднюю дверь в одном из офисных зданий и проводили Попова в небольшую комнату, напичканную пультами, столами, а также компьютерами с ОС Windows, конфискованными во время различных рейдов. Хилберт приковывал Попова за ногу к компьютерному столу с расположенной на нем кириллической клавиатурой. Попов был в полном восторге. По сравнению с тюрьмой, подобного рода убогое рабочее место воспринималось почти как Овальный кабинет Белого дома. Он мог делать здесь все что угодно.

Эту операцию назвали «Город муравьев» (Ant City). Теперь в интернете Попов получил новую идентичность и начал посещать подпольные чаты и оставлять посты на сайте CarderPlanet, представляя себя в качестве важного украинского мошенника с неутолимым голодом в отношении украденных кредитных карточек. Его первой большой мишенью стал человек, находившийся на вершине строгой иерархии CarderPlanet: это был загадочный украинец, известный только как Скрипт (Script). Попов установил с ним контакт в начале сентября и начал вести с ним беседы частного характера через ICQ, через наиболее популярную в Восточной Европе службу мгновенных сообщений.

Спустя две недели Попов договорился о сделке относительно приобретения за 400 долларов номеров украденных кредитных карточек. Направив подобный контрабандный заказ Попову в Калифорнии, Скрипт совершил федеральное преступление в американской юрисдикции. Представленные Хилбертом доказательства смогут в конечном счете убедить украинские власти в необходимости ареста Скрипта, хотя он через шесть месяцев будет освобожден из тюрьмы.

Такого рода «контрольные закупки» данных о кредитных карточках были ключевым элементов в стратегии Хилберта: трата небольшого количества денег была легким способом для установления Поповым контактов, а, имея на руках карточки, Хилберт мог работать с компаниями, выпустившими эти кредитные карточки для установления источников совершенных противоправных действий. Попов спустился вниз по лестнице до уровня рядовых продавцов и хакеров, он заключал сделки и собирал информацию. Некоторые рабочие дня были короткими, тогда как другие продолжались по 10 часов. Но, независимо от успехов Попова, все они заканчивались одним и тем же образом — Хилберт возвращался домой к своей семье, в Попова отправляли в его переполненную уголовниками тюремную камеру.

Но как-то раз в День благодарения Хилберт приготовил сюрприз для своего ценного агента. Когда Попов был доставлен на работу, он достал проектор и указал на стену. Хилберт нажал на несколько клавиш на ноутбуке, и на экране появились начальные титры фильма «Братство Кольца», который только что был выпущен на DVD. На обед Хилберт принес полный набор Дня благодарения: индейку, гарниры, клюквенный соус, сладкий картофель и даже тыквенный пирог. Попов был тронут. Хилберт решил провести часть выходных с ним, а не со своей собственной семьей.

Слухи о «Городе муравьев» постепенно распространялись по управлению, и Хилберт стал получать запросы от других отделений ФБР относительно конкретных хакерских атак. В феврале 2003 года произошел самый крупный в истории взлом: проникновение в компьютерную систему оператора по обслуживанию кредитных карточек Data Processing International, и в результате были украдены сведения относительно 8 миллионов кредитных карточек. Попов начал задавать вопросы относительно атаки на Data Processing International, и один из его контактов, 21-летний русский студент по кличке «РЕС» (RES) заявил, что он знает трех хакеров, участвовавших в этом деле, и готов выступить в качестве посредника при заключении сделки.

Попов нагло заявил, что намерен купить данные относительно всех 8 миллионах карточек за 200 тысяч долларов, однако сначала он хотел бы получить небольшое количество образцов. Образцы позволили бы Хилберту подтвердить, что карточки, действительно, были похищены в результате взлома компьютерной системы компании Data Processing International. Однако РЕС откровенно посмеялся над этим предложением. По его мнению, относительно небольшие закупки Попова до последнего времени отнюдь не свидетельствуют о том, что на его банковском счете есть 200 тысяч долларов.

Хилберт предложил вариант решения. Попов был переодет в гражданскую одежду и в сопровождении агентов ФБР, обеспечивавших безопасность, он был отвезен в ближайший банк, который согласился сотрудничать в этом деле. В задней комнате банка его сотрудники принесли из хранилища 200 тысяч долларов 100 долларовыми банкнотами и разложили их на столе. Хилберт снял с Попова наручники и записал видео с участием украинского хакера (только ниже шеи), на котором тот перекладывал пачки денег.

«Вот, смотри, я показываю тебе бабки, — сказал Попов по-русски. — Бабки, в натуре, настоящие, и никакой гребаной болтовни. Я перевожу их на свой счет». После этого он вытащил одну купюру и поднес ее ближе к камере. «Все тут гребаные водяные знаки, все это дерьмо на месте. Я показывают все это тебе с близкого расстояния». Он презрительно бросил 100-долловую купюру на стол. «Так что позови свою братву, и давай уладим этот гребаный бизнес».

Снятое видео удовлетворило этого русского. А процесс идентификации РЕСа оказался еще более легким. Попов сообщил, что часть денег он заработал на основной работе в компании под названием HermesPlast, занимающейся изготовлением кредитных карточек. Предложив этому русскому обратиться туда самому по поводу работы, он передал РЕСу адрес веб-сайта компании, а также адрес ее предполагаемого босса — Анатолия Фелдмана (Anatoly Feldman).

РЕС в тот же день направил Фелдману заявление о приеме на работу вместе с копией своего резюме и сканированной копией своей российской идентификационной карточки.

Компания HermesPlast была, конечно же, подставной организацией, учредителями которой стали Хилберт и Попов. Теперь ФБР получило настоящее имя РЕСа, дату его рождения и адрес. Это была удивительно простая уловка, и она вновь и вновь оказывалась успешной. Попов знал одну важную вещь относительно хакеров из Восточной Европы — все они, на самом деле, очень хотели получить работу.

8 апреля 2003 года Попова вывезли из тюрьмы города Санта-Анна для того, чтобы он смог выслушать приговор окружного судьи США Дэвида Картера (David Carter). В течение восьми месяцев он проводил дневное время в «Городе Муравьев», а ночи — за решеткой. По рекомендации правительства Картер приговорил Попова к тому сроку, который он уже отсидел, а также к трем годам условного наказания под наблюдением за ним со стороны суда. Затем он сразу же приказал ограничить доступ ко всем материалам данного приговора.

Спустя 28 месяцев после своего полета в Соединенные Штаты Попов оказался на свободе в округе Ориндж, штат Калифорния, в 8 милях от «Диснейленда» и страшно далеко от Житомира. Однако его иммиграционный статус оказался непростым. У него не было грин-карты, не было номера страхового полиса и не было никакой возможности получить законную работу и водительские права. Хилберт договорился с ФБР, и для Попова сняли квартиру около пляжа, и ему ежемесячно выплачивалось вознаграждение в размере 1 тысячи долларов за продолжение работы в «Городе Муравьев».

Однако Попов с трудом приспосабливался к путанице автострад и придорожных торговых центров. В июле он стоял на остановке недалеко от своего офиса по надзору за досрочно освобожденными и ждал автобуса, и в этот момент к нему подошел незнакомый мужчина — он был пьян, чем-то разозлен, и нес какую-то ерунду. Попов ударил этого парня достаточно сильно, и тот упал на тротуар. Попов в панике позвонил в ФБР, уже представляя себе, как он вновь окажется в тюрьме. Если я выберусь из этой истории, то уеду домой, решил Попов.

Попов получил разрешение от судьи Картера посетить Украину, при условии, что он вернется в Калифорнию к 18 августа для проведения там оставшиеся трех лет своего условного срока. Хилберт отвез его в аэропорт и сказал ему «до свиданья», будучи полностью уверенным в том, что он больше никогда Попова не увидит.

«Город Муравьев» был закрыт навсегда. По подсчету Хилберта, в результате проведенной операции около 400 тысяч украденных кредитных карточек были удалены с черного рынка, а более 700 компаний были предупреждены о том, что их компьютерные системы были взломаны хакерами из Восточной Европы. В конечном итоге, десяти подозреваемым были предъявлены обвинения, в том числе Скрипту, однако никто их них не был экстрадирован.

Хилберт поддерживал контакт с Поповым после возвращения этого хакера на Украину. Попов начал заниматься бизнесом в области кибербезопасности, а свою фирму он назвал Cybercrime Monitoring Systems сокращенно Cycmos. По словам Повова, она шпионила за подпольем, продавала полученные данные компаниям, которые могли оказаться объектами нападений. Хилберт это одобрил. Создавалось впечатление, что Попов направляет полученный им в «Городе Муравьев» опыт на работу легального предприятия. Попов начал снабжать Хилберта постоянным потоком наводок — по старой памяти.

В канун Нового 2004 года зазвонил сотовый телефон Хилберта. «Эй, а знаешь что?— сказал Попов по-английски со своим гладким и беспорядочным акцентом. — У меня здесь есть что-то новенькое». Произошел большой взлом, сказал он. И что удивительно, его жертвой стало само Федеральное бюро расследований. Попов наблюдает за одной российской бандой хакеров, члены которой специализируются на сетевой технологии периода до изобретения интернета под названием X.25 — именно эта технология использовалась в сетях с пакетной коммутацией в 70-е и в 80-е годы. В 2004 году технология X.25 стала для интернета как Betamax для формата VHS в интернете, однако созданные ранее сети продолжали работать, и тысячи корпораций и правительственных учреждений во всем мире все еще были связаны по этой схеме.

Русские хакеры проникали в старые сети и докапывались до самых разных американских компаний. Однако одна их мишень вызывала особую озабоченность. Хакеры взломали центр хранения данных компании AT&T в штате Нью-Джерси, в котором эта компания, в соответствии с заключенным контрактом, разместила серверы электронной почты целого ряда правительственных ведомств. Одним из них было Федеральное бюро расследований, что давало русским доступ к электронной почте любого сотрудника с электронным адресом FBI. gov.

Хилберт повесил трубку, а затем позвонил своему боссу. Вскоре он уже был на борту самолета, направлявшегося в Вашингтон, округ Колумбия, для того, чтобы возглавить там расследование. Хилберт договорился об оплате компании Cycmos 10 тысяч долларов за возвращение любых украденных данных, а также за идентификацию вовлеченных в это дело хакеров. Попов справился с задачей и передал два документа, которые, по его словам, были извлечены из входящей почты ФБР: речь шла о секретном 11-страничном досье, составленном правительством на одного из лидеров портала CarderPlanet под именем Король Артур (King Arthur), а также о списке в электронном виде целей для проведения кибератаки со стороны ФБР и Секретной службы.

Этот список объектов был составлен шесть месяцев назад и был помечен указаниями «Чувствительные места правоохранительных органов» и «Не передавать по интернету». Потенциально это было золотой жилой для подполья, и там содержались идентификаторы — а в некоторых случаях и реальные имена — более 100 хакеров, находившихся под прицелом правительства с такими пометками, как «главная мишень» или «в настоящее время сотрудничает с правительством». Белый дом был проинформирован в случившемся, что еще больше увеличило ставки. Хилберт попросил Попова предоставить дополнительные данные.

И тогда Попов подготовил сенсацию. Он направил Хилберта в раздел чата, где тот сможет найти русского лидера банды X.25. Вскоре Хилберт уже вел беседу с Леонидом Соколовым (Leonid «Eadle» Sokolov), студентом инженерного института в Санкт-Петербурге, Россия. Отвечая на вопрос Хилберта, он подтвердил свое участие во взломе компьютерной системы AT&T и в краже документов. Хилберт его расколол. Это будет самым большим делом в его карьере.

Но возникла одна загвоздка. 10 февраля 2005 года Хилберт был вызван в зал для проведения совещаний в здании имени Эдгара Гувера — там за столом сидели пять руководителей различных подразделений, а еще в режиме телеконференции находился на связи разгневанный федеральный обвинитель.

Оказалось, что другие организации также пострадали от хакерской активности группировки X.25, и Попов предложил им свои услуги. Одной из жертв стала расположенная в Бостоне многонациональная компания EMC, у которой были украдены исходные коды программы повсеместной виртуализации — VMware. Если коды похищены, то хакеры в любом месте могут получить возможность проникнуть в систему через бреши в ее системе безопасности. Задача программы VMware состоит в том, чтобы разрешить единственному серверу размещать у себя многочисленные виртуальные компьютеры, и при этом они будут отгорожены друг от друга. Но если ситуация развивается по наихудшему сценарию, то хакер может получить возможность «ускользнуть» от виртуальной машины и установить контроль над основной системой.

Используя свое официальное деловое прозвище «Денис Пинхаус» (Denis Pinhaus), Попов обратился к представителям компании EMC и предупредил их относительно взлома. Он сказал, что за соответствующую цену он может сделать так, чтобы похищенные коды не распространялись. Кроме того, он пообещал предоставить компании EMC детальный технический анализ произведенного взлома. Как и раньше, он дал контактную информацию и имя агента ФБР, который может подтвердить его надежность — то есть сообщил информацию относительно «И Джей» Хилберта.

Судя по всему, руководство компании EMC восприняло эту ситуацию как попытку вымогательства и сообщило об этом в ведомство прокурора США в Бостоне. Переданные материалы оказались на столе у Стивена Хейманна (Stephen Heymann), жесткого прокурора по киберпреступлениям, который позднее получит сомнительную известность, преследуя интернет-активиста Аарона Шварца (Aaron Swartz).

И вот теперь этот Хейманн был подключен по системе телеконференции и требовал ответа — кто такой этот Пинхаус? Хилберт объяснил, что Пинхаус раньше был агентом ФБР и оказывал помощь в проведении важных расследований. «В настоящее время мне нужен этот парень именно там», — сказал Хилберт. Но подобное объяснение не подействовало на Хейманна. Он хотел предъявить украинцу обвинение в вымогательстве. Он потребовал, чтобы Хилберт раскрыл настоящее имя своего источника.

Хилберт отказался. Хейманн мог завести дело, используя вымышленное имя Попова, а затем, действуя по своим каналам, получить из ФБР его настоящие данные. Однако он понимал, что от Хилберта он этих сведений не получит. Но так нельзя было говорить прокурору Бостона, где еще не было забыто наиболее скандальное дело с другим информатором, и это бросало тень на федеральное ведомство. Хейманн добился заключения в тюрьму бывшего агента ФБР по обвинению в использовании в течение десятилетий в качестве информатора кровавого босса бостонской мафии. «Эта ситуация напоминает то, что произошло с Уайти Балджером (Whitey Bulger)», возмущенно сказал бостонский прокурор.

Один из начальников попросил Хилберта покинуть зал для проведения конференций. Хилберт направился к своему компьютеру и отправил сообщение Попову, попросив его держаться подальше от компании EMC. «Прекрати там все свои действия, ты понял?» По словам Хилберта, он еще добавил: «Это важно. Все следят за этой ситуацией. Ты должен прекратить этим заниматься». Хилберт вернулся к своему делу по поводу компании AT&T. Соколов был признан в Нью-Джерси виновным на основании секретного обвинительного акта с печатью, и, кроме того, конфиденциальный «красный циркуляр» был выдан Интерполом, на основании которого он будет арестован, если он когда-нибудь покинет Россию и окажется в стране, которая будет готова экстрадировать его в Соединенные Штаты. Попову заплатили, а также направили ему письмо на бланке БР с благодарностью для размещения его на веб-сайте компании Cycmos: «Мы ценим оказанную вами помощь и выражаем за это нашу благодарность».

Все это дело исчезло во мгле покрытого тайной прошлого ФБР. Единственным публичным упоминанием взлома электронной почты FBI. gov оказалась статья, опубликованная в 2005 году в журнале Newsweek, а Федеральное бюро расследований принизило значимость этого события — его представители сообщили, что секретная информация не была похищена.

Спор с бостонским прокурором на какое-то время отошел на второй план в голове Хилберта. Но через четыре месяца ФБР неожиданно приказало прекратить все контакты с Поповым и передачу 600 страниц накопившихся за 18 месяцев записей бесед в онлайновых чатах. Вскоре Хилберт перестал заниматься киберпреступлениями, поскольку был переведен в контртеррористическое подразделение.

Хилберт активно стал заниматься своим новым заданием, но через некоторое время он обратил внимание на странные вещи. Ему перестали давать поощрительные премии, а агенты, которых он знал в течение многих лет, перестали с ним разговаривать. В августе 2006 года он предложил себя в качестве кандидата на место руководителя одного из периферийных отделений в Лос-Анджелесе. Когда его заявка попала в штаб-квартиру, его имя было вычеркнуто из списка кандидатов, и его попросили не подавать свою заявку повторно. «Что, черт возьми, происходит?» — спросил Хилберт своего начальника. И тогда он узнал то, что все остальные, казалось, уже давно знали: в отношении него ведется расследование.

В течение года Управление генерального инспектора Министерства юстиции проводило расследование в отношении Хилберта по подозрению в заговоре, в обмане государства и передаче секретной информации, относящейся к работе правоохранительных органов — речь шла о направленном им предупреждении Попову относительно его обращения в компанию EMC.

Хилберт был совершенно подавлен. Работа в ФБР была его мечтой, однако уголовное расследование положит конец его карьере в Бюро, а у него дома было двое детей и скоро должен был появиться третий. Без лишнего шума он начал поиск рабочего места в частном секторе, и в феврале 2007 года он вошел в кабинет своего начальника, бросил свой пистолет и знак ему на стол и ушел. Вот так из-за его прорывного дела закончилась его восьмилетняя карьера в ФБР.

Хилберт уже неплохо устроился на своем новом рабочем месте в качестве консультанта к тому времени, когда ему совершенно неожиданно позвонил Попов. Прошло более шести лет с момента их последнего разговора, но на этот раз Попов не предлагал никакой сделки, не давал никаких наводок и не просил ответить услугой на услугу. Он просто поблагодарил Хилберта.

«Он позвонил и поблагодарил меня за то, как я к нему относился в то время, когда он находился в тюрьме, а также за то, как все это было сделано», — сказал мне Хилберт за обедом в семейном ресторане в округе Ориндж в начале 2013 года. «Сейчас он находится дома, он изменил свою жизнь, у него теперь семья, и он всем обязан мне — его слова».

Звонок Попова заставил Хилберта вновь вспомнить о том, как несправедливо обошлось с ним правительство. Уже после его ухода из ФБР генеральный инспектор этого ведомства продолжал вести в отношении него расследование и даже направлял агентов на новую работу Хилберта, которые пытались задавать ему вопросы. Наконец, в 2009 году с Хилберта были сняты все обвинения, а Министерство юстиции формально отказалось от предъявления ему обвинений.

Во время моего первого разговора с Поповым он рассказал мне ту же самую историю искупления, которая случилась и с Хилбертом. Однако в какой-то момент в его рассказе возникли другие сюжеты. У Попова сохранились его собственные обиды по поводу дела с компанией EMC. В тот момент, когда он позвонил Хилберту, была решена и эта проблема.

Помимо обращения к Хейманну, представители EMC в 2005 году, не афишируя свои действия, заключили сделку с Поповым и перевели ему 30 тысяч долларов, пообещав перевести еще 40 тысяч долларов через четыре года, если не будет утечек исходного кода программы VMware. Никаких утечек исходного кода не было, и тот факт, что секретные данные относительно VMware находились в руках заокеанских хакеров, остался тайной как для клиентов, так и для акционеров.

Однако после этого взлома, когда Попов, по его словам, обратился к компании EMC по поводу его гонорара в 70 тысяч долларов за «консультации», ему было отказано (представители EMC от комментариев отказались). В этот момент EMC поддерживала фирму VMware как свою собственную. По мнению Попова, руководители EMC, похоже, хотели сделать вид, что всей этой истории вообще не было.

Такое неуважительное отношение сильно его задело, и он решил отомстить. Попов создал себе новую идентичность, назвав себя Hardcore Charlie, русским хакером, связанным с движением Anonymous. И 24 апреля 2012 года, спустя почти восемь лет после его ареста, первые 520 строк украденных исходных кодов программы VMware впервые появились во всемирной сети.

Несмотря на время создания этого кода, произошедшая утечка взволновала технологический мир и привела в смятение сотрудников фирмы VMware в городе Пало-Альто, штат Калифорния. Совершенный в 2004 году взлом уже давно был стерт из институциональной памяти компании VMware, тогда как некоторые из украденных исходных кодов все еще использовались в ее актуальных продуктах. Глава отдела безопасности Лейн Малхолланд (Iain Mulholland), бывший офицер британской армии, провел потрясающую операцию по контролю ущерба — он нанял всех тех аудиторов в области безопасности, которых он знал, и привлек их к работе по выявлению уязвимых мест в исходном коде. Компания VMware выпустила первое из многочисленных обновлений в области безопасности через десять дней. К тому времени, в ноябре 2012 года, когда Попов выложил в сеть более значительную порцию информации относительно исходного кода, все программные бреши были уже закрыты.

Все это не было похоже на усилия обычного консультанта в области компьютерной безопасности. Почувствовав давление, Попов, в конечном итоге, подтвердил то, что к этому времени и так стало очевидным: проникновение в компьютерную систему компании EMC и взлом электронной почты ФБР, в действительности, не были работой обычного русского хакера. «С технической точки зрения, именно мы это сделали», — говорит Попов в ночном телефонном разговоре со мной.

Соколов, студент из Санкт-Петербурга, обвиненный во взломе электронной почты ФБР, с самого начала работал вместе с Поповым и пытался получить деньги за взломы системы X.25. «Он лучший из лучших», — говорит Попов.

Когда они взломали центр хранения данных компании AT&T, Попов думал, что фирма telco без труда заплатит им 150 тысяч долларов для того, чтобы узнать детали и защитить свои правительственные контракты. Только когда AT&T ответила отказом, Попов позвонил Хилберту и сообщил ему о взломе, надеясь на то, что ФБР заплатит за информацию.

Договорившись о сделке с Хилбертом, Попов убедил Соколова в том, чтобы он пообщался с Хилбертом в чате, и сделать это нужно было для того, чтобы тот смог «раскрыть» совершенное преступление. По словам Попова, Хилберт не был посвящен в этот мошеннический план. «Я думаю, что он, на самом деле, что-то подозревал, — сказал Попов. — Но тогда это не было столь очевидным».

Я не могу подтвердить, догадывался ли Хилберт о чем-то или нет, потому что к моменту признания Попова Хилберт перестал со мной разговаривать — о был обеспокоен тем, что история о «Городе Муравьев» может навредить ему на его новом месте работы в качестве директора по кибербезопасности и охране личных данных во входящей в Большую четверку компании PricewaterhouseCoopers.

Что касается Попова, которому в настоящее время 35 лет, то он попеременно кажется то утомленным, то дерзким. У него нет никаких сожалений по поводу взлома компьютерной системы ФБР. Однако его бравада несколько уменьшается, когда я спрашиваю его двойной роли в разрушении карьеры Хилберта в ФБР.

Попов все еще помнит День благодарения в 2002 году, блюдо из индейки, «Властелина колец». «Он был единственным моим другом, — говорит Попов, имея в виду Хилберта. — Я все еще люблю его, хотя он немного отстранился от меня из-за моего нового дела. Я остаюсь кибером, и я никогда не менялся. Но кого это интересует? Я все еще люблю его».

После «Города Муравьев» подполье Восточной Европы переходило от периода кипения к образованию новой звезды. В 2013 году и в 2014 году в результате атаки на Target и Home Depot были похищены данные почти 100 миллионов кредитных и дебитовых карточек. Российская троянская программа под названием ZeuS вызвала продолжавшийся 10 лет всплеск в области кибератак на онлайновые банки. Черви и бот-сети, вредоносные программы, позволяющие покупать файлы за биткойны, и даже изощренные схемы инсайдерской торговли на сумму 100 миллионов долларов — все это было связано с хакерами из бывших советских республик. Как всегда, главным является масштабируемость.

Русский хакер не взламывает банковский счет для того, чтобы взять какое-то количество денег и этим ограничиться. Он кодирует программный комплект, автоматизирующий процесс похищения средств с банковских счетов, и продает свой продукт по 3 тысячи долларов за копию. Его клиенты — настоящие воры — нанимают спаммеров для распространения вредоносных программ, а также людей, занимающихся отмыванием денег. У каждого здесь своя специализация. Все получают вознаграждение.

Работа Хилберта с Поповым была первой настоящей попыткой вскрыть этот мир, хотя во многом это было просто новым поворотом в обычной стратегии действий правоохранительных органов. Когда федеральное ведомство, работающее в области обеспечения правопорядка, сталкивается с масштабной криминальной машиной, оно неизбежно пытается подорвать работу этого часового механизма изнутри. И для этого правительственное ведомство должно стать действующим компонентом того самого преступного аппарата, который оно хочет разрушить. Подобная тактика всегда создает ситуацию со сложным балансом, и «Город Муравьев» — не последний инцидент с негативными последствиями.

В еще одном случае, который произошел спустя некоторое время, информатор Секретной службы по имени Альберт Гонсалес (Albert Gonzalez) тайным образом присоединился к русским хакерам во время проведения преступной операции — под ударом находились 160 миллионов кредитных карточек, а ущерб составил сотни миллионов долларов, — но затем он был арестован и приговорен к 20 годам тюремного заключения. Обвинитель, заместитель федерального прокурора Хейманн, просил приговорить его к 30 годам.

Некоторые операции заканчиваются арестами и церемониями награждения, после других возникает неловкая тишина. Но одна вещь остается неизменной — само восточноевропейское подполье. Оно продолжает работать и, как любая машина, оно, по большей части, делает это неустанно и равнодушно — эти люди просто занимаются поиском работы, за которую платят деньги.

Источник: Wired Magazine, США

18.05.16.