Спецслужбы
16.03.2017

Взломщик Yahoo Дмитрий Докучаев – путь от кибер-преступника до майора ФСБ и агента ЦРУ

Директор Бортников взял на работу хакера Белана по кличе "Абырвалг"

Одна из крупнейших в истории хакерских атак на почту Yahoo была совершена в конце 2014 года. Сама компания ничего не замечала (или замечала, но не желала поддавать огласке) до 2016-го. Украдены персональные данные более чем 500 млн пользователей, в том числе 150 тыс членов федерального правительства и американских военных. Правительство США планирует привлечь к ответственности граждан России, двое из которых имеют отношение к спецслужбам. По иронии судьбы, обвиняемый американцами майор ФСБ Дмитрий Докучаев сейчас сам находится под следствием по обвинению в государственной измене и несанкционированных связях с иностранным разведывательным сообществом.

 

 17 03 17 cia 88

Просмотреть и скачать полный обвинительный акт против Дмитрия Докучаева, Алексея Белана, Игоря Сущина и Карима Баратова

 

Русскоязычную карточку отделения ФБР в Санкт-Франциско о розыске Дмитрия Докучаева (он же — Patrick Nag) можно просмотреть здесь.  Фигурант карточки родился 28 февраля 1984 года, в прошлом был известен, как уральский кибер-преступник Forb и автор журнала «Хакер», редактировавший рублику «Взлом». В ноябре 2004 года Докучаев и житель Санкт-Петербурга «Андрей Споров» (sp0raw) дали интервью  газете «Ведомости». «Среднестатистический кардер может зарабатывать от $5000 до $30 000 в месяц. Но это самое опасное киберпреступление, за которое нещадно наказывают. И в последнее время довольно успешно», — подчеркивал Forb в интервью.

 13 03 17 xakker 02

Кибер-преступник Дмитрий Докучаев

 

Статус Sp0raw за минувшие годы  не изменился. Дмитрий Докучаев был принят на работу в Центр информационной безопасности (ЦИБ) ФСБ России. Свою квалификацию сам Докучаев в беседе с журналистами оценивал не слишком высоко, поэтому можно предположить, что в ФСБ его задачи могли сводиться к оперативным мероприятиям в отношении коллег по отрасли. Докучаев работал в связке с ключевым сотрудником ЦИБ ФСБ Сергеем Михайловым, курировавшим Рунет. Поэтому можно сказать, что привлечение хакера к работе было не случайным кадровым решением, а политикой, согласованной с директором ФСБ Александром Бортниковым.

 

 13 03 17 xakker 03

Майор ФСБ Дмитрий Докучаев

 

Департамент юстиции США также обвиняет в атаке Игоря Сущина. «Предположительно, Сущин является офицером Федеральной службы безопасности России, но его ранг не известен», - утверждает ФБР в личной карточке розыска.

Всего фигурантов дела четверо – кроме упомянутых, это уроженец Латвии Алексей Алексеевич Белан (Alexsey Belan), а также житель Казахстана и Канады Карим Буратов (Karim Baratov, псевдонимы — Kay и Карим Таловеров). Баратова канадские власти арестовали во вторник.

Обвинительное заключение, состоящее из 47 пунктов, включает в себя сговор, компьютерное мошенничество и злоупотребление, экономический шпионаж, кражу коммерческой тайны, сетевое мошенничество и хищение идентификационных данных.

По мнению американской юстиции, сотрудники ФСБ защищали двух других обвиняемых, управляли ими, помогали и платили им за сбор информации через компьютерное проникновение на территории США. Украв информацию об аккаунтах Yahoo, обвиняемые затем использовали часть из нее, чтобы получить незаконный доступ к содержимому аккаунтов на Yahoo, Google и других почтовых сервисах. Среди них были в том числе аккаунты российских журналистов, американских и российских государственных чиновников, сотрудников российской компании в области кибербезопасности, других частных компаний в финансовой, транспортной и других сферах, говорится в заявлении департамента.

Один из обвиняемых также использовал доступ к аккаунтам Yahoo для личных целей: он получил из переписки пользователей номера кредитных и подарочных карт, перенаправил часть поискового трафика Yahoo, чтобы получать от него комиссию, а также продал списки 30 млн взломанных аккаунтов спамерам, перечисляет ведомство.

 13 03 17 xakker 05

 13 03 17 xakker 06

 13 03 17 xakker 07

Алексей Белан (на фото) дважды был обвинен в киберпреступлениях в США, в ноябре 2013 год ФБР назвало его одним из самых разыскиваемых киберпреступников, за его поимку обещано $100 тыс. Первый федеральный ордер на арест Белана был выдан 12 сентября 2012 года в Окружном суде США по округу Невады в Лас Вегасе, по обвинению в получении при помощи компьютера данных с защищенного компьютера, незаконном владении 15-ю или более чем 15-ю устройствами доступа и хищении личных данных при отягчающих обстоятельствах. Второй ордер выдан 6 июня 2013 года Окружным судом США по Северному округу Калифорнии в Сан-Франциско, по двум пунктам обвинения в мошенничестве, совершенном при помощи компьютера, и двум пунктам обвинения в хищении личных данных при отягчающих обстоятельствах.

В карточке ФБР указывается, что Белан родился в Риге в 1987 году. Он якобы похитил базы данных клиентов этих фирм, вывел их на свой сервер и сделал легкодоступными. Предполагается, что Белан получил доступ к зашифрованным паролям к миллионам счетов, а затем начал переговоры о продаже этих баз данных. Так называемое «красное уведомление» Интерпола о немедленном заключении под стражу было разослано (в том числе в Россию) 26 июля 2013 года. В июне 2013 году Белан был арестован в одной из европейских стран по запросу США, но смог сбежать в Россию до того, как был экстрадирован в США, говорится в заявлении департамента юстиции. Вместо того чтобы следовать «красному уведомлению» и немедленно арестовать Белана после его возвращения, Докучаев и Сущин использовали его для взлома Yahoo, уверены в США.

Оперативный работник Центра информационной безопасности (ЦИБ) ФСБ Докучаев сейчас находится в следственном изоляторе по решению Лефортовского суда. В декабре он был арестован по делу по ст. 275 (государственная измена) вместе с Сергеем Михайловым, заместителем руководителя ЦИБ ФСБ. До ареста Докучаев участвовал в расследовании дела еще одной хакерской группировки «Шалтай-Болтай».

Про Сущина в справке департамента юстиции США говорится, что в ФСБ он был начальником Докучаева, а также был внедренным сотрудником и главой информационной безопасности в одном из российских инвестбанков. В 2011 году Игорь Анатольевич Сущин (полный тезка обвиняемого США сотрудника ФСБ, как и он, 1973 года рождения) пожертвовал политической партии «Правое дело» 4,33 млн рублей, сообщают «Ведомости»  со ссылкой на сайт Минюста. Впоследствии эти деньги ему были возвращены.

Меньше всего известно о четвертом участнике дела — Баратове (Таловерове). Из его странички в Инстаграм можно сделать вывод что, этот человек увлекается дорогими автомобилями, в его коллекции есть «Мерседас», БМВ и «Асто-Мартин». Также на его имя зарегистрировано почти сто доменных адресов в провинции Онтарио, некоторые из них похожи на названия известных ресурсов — Google, Yahoo и Яндекс. В кэшированной копии одного из сайтов можно увидеть рекламу услуги “качественный взлом почты на заказ, без смены пароля.”

 13 03 17 xakker 09

Одна из машин Карима Баратова

 

Череда взломов усугубила положение Yahoo. Компании пришлось возобновить переговоры о продаже бизнеса оператору Verizon. В июле стороны пришли к соглашению, но вскоре стало известно об атаке 2014 года. Совет директоров лишил гендиректора Мариссу Майер денежной премии за 2016 год, также она отказалась от вознаграждения в виде акций за 2017 года.

Комиссия по ценным бумагам и биржам и другие регуляторы расследуют, почему Yahoo в течение двух лет не сообщала о происшествии. Как ранее сообщало агентство «Руспрес», не менее мощная атака на сервисы Yahoo состоялась в 2013 году, когда хакеры украли информацию из почти миллиарда учетных записей. В самой компании не связывают эту атаку с совершенной годом позже. Обвинения также не связаны с хакерской атакой на серверы Демократической партии США, которая имела место  во время президентских выборов 2016 года.

 
****
 
США внесли в список санкций хакера Богачева

 

Министерство финансов США объявило о введении новых санкций против России в связи с кибератаками, целью которых было повлиять на ход выборов американского президента. Об этом говорится на сайте американского ведомства.

Из сообщения следует, что санкции введены в отношении ФСБ, компании ЦОР Security, автономной некоммерческой организации «Профессиональное объединение конструкторов систем информатики» и компании «Специальный технологический центр».

Ряд лиц попали под персональные санкции, в частности хакер и Евгений Богачев. Последнего уже разыскивает ФБР.

 

 13 03 17 xakker 10

 

Объявление о розыске Евгения Богачева

 

Евгений Богачев официально объявлен в розыск ФБР, за сведения о нем объявлено награда в $3 млн. Против 33-летнего россиянина Евгения Михайловича Богачева и его сообщников, обвиняемых в мошенничестве, похищении личных данных и отмывании денег, заведены в США три дела, одно гражданское в Пенсильвании и два уголовных, в Пенсильвании и Небраске.

Дела были открыты в разное время, но обнародованы разом в начале июня, когда ФБР и спецслужбы еще десятка стран доложили о том, что общими усилиями наконец сумели в большой степени обезвредить ботнет GameOver Zeus (GOZ) и распространявшуюся с его помощью вредоносную программу Cryptolocker.

Оба были созданы и использовались в незаконных целях преступной группой, возглавляюшейся Богачевым (ники Slavik, Pollingsoon и Lucky12345), который проживает в Анапе. Его точный адрес указан в 9-страничном гражданском иске, который власти США возбудили в Западном округе Пенсильвании против Богачева и четырех его сообщников, пока известных следователям лишь под никами Temp Special, Ded, Chingiz 911 и Mr. Kykypyky и проживающими в России и на Украине.

Как говорится в иске, сообщники Богачева обслуживали под его началом ботнет GOZ. В числе прочего, ботнет выведывал у пострадавших банковские реквизиты, пароли и другую конфиденциальную информацию, а потом переводил деньги с их банковских счетов сообщникам преступной группы. Например, индейское племя, проживающее в штате Вашингтон, лишилось таким образом более $277 тысяч, а один флоридский банк – почти $7 млн.

GOZ является усовершенствованным вариантом трояна Zeus, который впервые появился в 2007 году. GOZ распространяется с сентября 2011 года и с тех пор причинил убытки, превышающие $100 млн. Считается, что преступная группа Богачева заразила от 500 тысяч до миллиона компьютеров по всему миру. Программа Cryptolocker заражает с помощью ботнета чужие компьютеры и кодирует содержащиеся в них файлы. Потом на экране монитора выскакивает требование в течение 72 часов заплатить кибермошенникам выкуп. В противном случае файлы потерпевшего навсегда останутся запертыми сложным кодом, расшифровать который, как говорится в исковом заявлении, практически невозможно.

Ниже - полный перевод заявления президента США по мерам в ответ на вредоносную кибер-активность и агрессию России

Сегодня я принял ряд решений в отношении агрессивных действий правительства России против американских чиновников и в отношении кибер-операций, нацеленных на прошедшее в США голосование. Эти меры последовали за многократными частными и публичными предупреждениями российским властям и представляют собой необходимый и уместный ответ на попытки навредить интересам США в нарушение установленных международных норм поведения.

Все граждане США должны быть в курсе действий России. В октябре моя администрация обнародовала нашу оценку, согласно которой Россия предприняла некоторые шаги с целью вмешаться в избирательный процесс в нашей стране. Вся эта деятельность по воровству данных и их раскрытию могла быть санкционирована лишь на высшем уровне российской власти. Более того, наши дипломаты в Москве испытали на себе неприемлемую агрессию со стороны российских спецслужб и сотрудников полиции в течение последнего года. И у этой агрессии будут последствия. Сегодня я принял ряд решений в ответ на это.

Я выпустил специальный указ, который предоставляет дополнительные полномочия для борьбы с определенного рода кибер-активностью, направленной на подрыв избирательного процесса у нас в стране, а также у наших союзников. Используя эти полномочия, я наложил санкции на девять физических и юридических лиц: двух российские спецслужб, четырех разведчиков и три компании, которые обеспечивают им материальную поддержку.

Кроме того, Минфин США вносит в санкционный список россиян, которые использовали кибер-возможности, чтобы незаконно завладеть средствами и персональными данными. Госдепартамент США также закрывает два российских комплекса в штатах Мэриленд и Нью-Йорк, которые использовались для разведывательных целей, и объявляет персонами нон-грата 35 сотрудников российской разведки.

Наконец, Министерство внутренней безопасности и ФБР публикуют рассекреченную информацию о кибер-активности российской военной и невоенной разведок, чтобы помочь специалистам по сетевой безопасности в США и за рубежом вычислять и обезвреживать вредоносные кибер-кампании, которые Россия ведет в глобальном масштабе.

Этими действиями не ограничится наш ответ на российскую агрессию. Мы продолжим принимать широкий спектр мер когда угодно и где угодно. Некоторые из этих мер будут носить в том числе непубличный характер. Добиваясь привлечения России к ответственности за свои действия, США и наши союзники по всему миру должны вести совместную работу в противодействии попыткам России подорвать нормы международного поведения и вмешаться в государственное управление демократических стран. Для этой цели в ближайшие дни моя администрация представит Конгрессу доклад о попытках России вмешаться в наши выборы, а также о вредоносной кибер-активности, связанной с прошедшим у нас избирательным циклом.

Источник: The Insider, 29.12.2016