Дело основателя Group-IB. Что известно об аресте Ильи Сачкова

Чем известна Group-IB

Group-IB специализируется на выявлении и предотвращении кибератак. Компания была основана в 2003 году Ильёй Сачковым и Дмитрием Волковым. Group-IB проводила экспертизу по уголовным делам в отношении хакеров и совместно с правоохранительными органами участвовала в операциях по задержанию киберпреступников. У компании есть опыт сотрудничества с международными организациями Интерпол и Европол. Сам Илья Сачков дважды присутствовал на встречах с президентом России Владимиром Путиным.

Координационный центр национального домена сети Интернет (КЦ, регулятор доменных зон .RU и .РФ) уполномочил компанию на внесудебную блокировку доменов, связанных с фишингом и распространением вредоносного ПО. Ещё одним фронтом работы Group-IB была борьба с пиратством и защита репутации в интернете. Кроме того, в 2019 году компания провела расследование накрутки голосов в ходе SMS-голосования на шоу «Голос.Дети» (выходит на «Первом канале»).

Американский журналист Брайан Кребс в своей книге Spam Nation утверждал, что корпорация Microsoft нанимала Group-IB для сбора компромата на хакера Лео Куваева. Куваев распространял вредоносное ПО, рассылал спам и торговал пиратскими копиями программного обеспечения. Его арестовали в России, но не за компьютерные преступления. В 2012 году суд приговорил Куваева к 20 годам за педофилию (позднее срок был снижен до 10 лет). По данным Кребса, компромат на хакера собирала именно Group-IB, однако в самой компании эту версию называли «не соответствующей действительности».

Что могло послужить причиной ареста Сачкова? Версии

По мнению источников газеты Financial Times (FT), арестовав Сачкова, российские власти дали понять, что «не хотят сотрудничать с Западом в борьбе с киберпреступностью и готовы наказать тех, кто нарушит правила». Также предпринимателя могла подвести критика «терпимости Кремля по отношению к киберпреступникам», считают собеседники издания.

Так, выступая в 2020 году на правительственном совещании по поддержке IT-отрасли в Иннополисе, Сачков в присутствии премьер-министра Михаила Мишустина заявил, что российские госорганы сами ухудшают имидж отечественных IT-компаний. В пример Сачков привёл отсутствие реакции на деятельность хакера Максима Якубца, который разыскивался США, но продолжал жить в Москве, не встречая никакого противодействия со стороны местных правоохранителей. Также Сачков критиковал назначение главой Ассоциации экспорта технологического суверенитета Андрея Безрукова — бывшего резидента Службы внешней разведки, разоблачённого американскими властями в 2010 году.

По сведениям агентства Bloomberg, одной из причин ареста Сачкова могли стать его глобальные планы. В последние несколько лет Group-IB активно вела международную экспансию. В 2018 году компания открыла головной офис в Сингапуре, позже её представительства появились в Дубае и Амстердаме. Источники Bloomberg утверждают, что Group-IB активно сотрудничала с ФСБ по вопросам кибербезопасности и вывод бизнеса за рубеж делал Сачкова «слишком независимым» от силовиков.

Схожей версии придерживается и младший научный сотрудник Французского института международных отношений Жюльен Носетти. В разговоре с FT он предположил, что Сачков «мог обладать доступом к крайне конфиденциальным данным».

В свою очередь, собеседники журнала Forbes считают, что в рамках сотрудничества с Интерполом Group-IB могла случайно передать секретные данные какого-то из расследований. По мнению источников издания, речь может идти о деле против владельца компании «М13» (разрабатывает для Администрации президента систему мониторинга СМИ «Катюша») Владислава Клюшина, задержанного весной 2018 года по запросу США в Швейцарии.

Как бывший главред «Хакера» сдавал хакеров ФБР

Арест Ильи Сачкова может быть косвенно связан с уголовным делом в отношении руководителя департамента сетевой безопасности Group-IB и бывшего главного редактора журнала «Хакер» Никиты Кислицина. Обвинения были выдвинуты в рамках расследования против российского хакера Евгения Никулина (впоследствии был осуждён в США на 7 лет). По данным американских властей, в 2014 году Никулин взломал базу пользователей форума Formspring, которую якобы затем помог продать Кислицин.

В материалах дела присутствует документ с показаниями, которые Кислицин дал в 2014 году сотрудникам ФБР в американском посольстве в Москве. На тот момент экс-главред «Хакера» уже работал в Group-IB.

Кислицин признал факт взлома базы Formspring со стороны Никулина и рассказал, что в передаче денег им помогал другой хакер — Олег Толстых (ник NSD). Из показаний Кислицина следовало, что Никулин взломал базу пользователей социальной сети LinkedIn и имел различные базы с логинами и паролями. С помощью LinkedIn Никулин вычислил системных администраторов интересующих площадок и, используя пароли от их корпоративных ящиков электронной почты, проник внутрь соответствующих сетей.

Кислицин утверждал, что Никулин имел доступ и к базе пользователей сервиса для обмена файлов Dropbox. Кислицин был готов назвать американским правоохранителям адреса проживания хакера. Примечательно, что Никулин был арестован в Чехии по запросу из США лишь два года спустя — в 2016-м.

Кислицин рассказал и о самом разыскиваемом американцами российском хакере — Алексее Белане, против которого бывший президент США Барак Обама вводил персональные санкции. Белана уже задерживали в 2013 году в Греции по запросу США — тогда его обвиняли во взломе сервиса хранения документов Scribd — но он вышел под залог и сбежал. В 2017 году ему было предъявлено новое обвинение — во взломе почтового сервиса Yahoo и краже данных 500 миллионов его пользователей.

В числе обвиняемых оказались бывший заместитель главы Центра информационной безопасности (ЦИБ) ФСБ Сергей Михайлов и его сотрудник Дмитрий Докучаев. Также в список попал Игорь Сущин, которого американцы назвали «прикомандированным сотрудником ФСБ в одном из российских инвестбанков» (официально Сущин работал в банке «Ренессанс Кредит»).

Кислицин поведал американцам, как он вместе с Беланом и подданным Бельгии и Турции Мехметом Созеном (Mehmet Sozen, обозначен в документе как Rais) пытался продать базу пользователей американского интернет-магазина обуви Zappos. Также Кислицин ответил на вопросы о партнёре Белана — неком Джоне Грине (Johny Green).

Кислицин рассказал, что Белан также взламывал такие ресурсы, как сервис для создания заметок Evernote, музыкальную социальную сеть Last.fm, скидочный сервис Groupon и службу знакомств Zoosk. Кроме того, Кислицин раскрыл американцам данные о знакомстве Докучаева с Беланом.

Рассказал Кислицин и о некоем сотруднике МИД Андрее Комарове, который показал Кислицину обвинительное заключение против Белана (выдвинутое в 2013 году). Комаров якобы говорил Кислицину о том, что Докучаев тайно записывал переговоры со своими собеседниками и пытался взламывать аккаунты различных людей.

Наконец, Кислицин сообщил американцам, что Group-IB благодаря установке своих прокси-серверов в сети провайдеров смогла перехватить базу данных кардерского форума feteam. Кислицин предложил поделиться этой базой, добавив, что делает он это с согласия Сачкова.

Как сотрудники ФСБ и «Лаборатории Касперского» оказались в тюрьме за госизмену

Арест Сачкова — не первый случай, когда российские борцы с киберпреступниками становятся фигурантами дел о госизмене. В 2016 году были арестованы упомянутые сотрудники ЦИБ ФСБ Сергей Михайлов и Дмитрий Докучаев, а также предприниматель Георгий Фомченков и бывший оперативник Управления «К» МВД, специалист по расследованию киберпреступлений «Лаборатории Касперского» Руслан Стоянов.

В 2019 году Михайлова приговорили к 22 годам заключения, Стоянова — к 14 годам, Докучаева — к 6 годам, Фомченкова — к 7 годам. Как и в случае с делом Сачкова, материалы расследования в отношении упомянутых фигурантов были засекречены, однако в прессу всё-таки просочилась информация о сути обвинений. По данным газеты «Коммерсантъ», фигуранты дела передали сотруднице американской компании I-Defence Кимберли Зенц (в России её считают сотрудницей американских спецслужб) оперативные материалы о владельце платёжной системы Chronopay Павле Врублевском. В России его обвиняли в заказе крупной DDoS-атаки.

Атака произошла летом 2010 года и была направлена на платёжную систему «Ассист» (конкурент Chronopay). В результате в течение недели не работала система оплаты электронных билетов на сайте её крупнейшего клиента — «Аэрофлота». В 2011 году ФСБ установило, что заказчиком атаки был Павел Врублевский, исполнителями — братья Игорь и Дмитрий Артимовичи, а посредником между ними выступал сотрудник службы безопасности Chronopay Максим Пермяков. Все четыре фигуранта были арестованы и дали признательные показания.

Однако в суде Врублевский и братья Артимовичи отказались от своих признаний и стали активно защищаться. Летом 2013 году Тушинский районный суд Москвы признал всех четырёх обвиняемых виновными. Врублевский и Артимовичи получили по 2,5 года колонии, а Пермякову дали 2 года условно. Расследованием дела занимался как раз Сергей Михайлов.

Продолжение: дело Врублевского. Как он дружил с чекистами и из-за чего с ними поругался

Во второй половине 2000-х Chronopay была крупнейшей в российском интернете системой приёма платежей с банковских карт. В то же время ходило множество слухов о причастности Павла Врублевского к различным «серым» проектам. Так, в материалах о DDoS-атаке «Аэрофлота» говорилось, что Врублевский был связан с подпольным интернет-банком Fethard и партнёрской программой по продаже фармацевтических препаратов в зарубежном интернете Rx-Promotion. Впрочем, сам предприниматель свою связь с этими проектами отрицал и обвинения по этим эпизодам ему не предъявлялись.

Врублевский был в хороших отношениях с Михайловым, о чём последний рассказывал в ходе судебного процесса по делу о DDoS-атаке «Аэрофлота». По его словам, Врублевский был интересен органам тем, что он — талантливый молодой человек, сплотивший вокруг себя хакеров. На своём первом допросе по делу «Аэрофлота» Врублевский назвал обвинения против него «оговором со стороны Михайлова», с которым у него якобы произошёл конфликт.

Суть конфликта Врублевский не раскрыл. Однако возможная причина была названа в вышеупомянутой книге американского журналиста Брайана Кребса Spam Nation. Служба безопасности Американского аэрокосмического агентства (NASA) при поддержке ФСБ готовилась арестовать на территории России хакера Дмитрия Нечовода (ник Gugle), создателя ботнета Cutmail. Но Врублевский предупредил Нечовода о риске ареста, и тот спешно уехал в Украину.

Странная экспертиза Group-IB по делу о DDoS-атаке «Аэрофлота»

В расследовании дела о DDoS-атаке «Аэрофлота» участвовала и Group-IB. Летом 2010 года оперативники ЦИБ ФСБ вычислили братьев Артимовичей. Силовики перехватили трафик и определили адрес панели управления Topol-Mailer, а также учётные данные от неё. Там было найдено вредоносное ПО crypted.exe, которое использовалось для заражения компьютеров жертв и формирования из них ботнета.

Затем к делу подключилась Group-IB. Оперативники ФСБ передали найденные материалы относительно Topol-Mailer, после чего компания провела экспертизу и пришла к выводу, что атака против «Аэрофлота» производилась именно с помощью найденного вредоносного ПО. Эта экспертиза и легла в основу обвинения.

Но в суде данные экспертизы были оспорены. Выяснилось, что сотрудники ЦИБ ФСБ передали диск с материалами в Group-IB 8 сентября 2010 года, сама экспертиза проводилась с 10 по 25 сентября, а санкция Мосгорсуда на проведение экспертизы была получена только 1 октября — то есть уже после её окончания. Один из адвокатов обвиняемых Павел Зайцев шутил, что «в ФСБ изобрели машину времени».

Кроме того, проведённое в ходе судебного заседания исследование содержимого компакт-диска показало, что упомянутый файл crypted.exe был создан 15 сентября — то есть в период проведения экспертизы в Group-IB. На этом основании Зайцев обвинил Group-IB в создании этого вируса и потребовал от суда считать экспертизу Group-IB доказательством защиты, а также сообщить в правоохранительные органы о выявленном преступлении. Впрочем, данное ходатайство было отклонено, а суд, как уже говорилось, признал всех обвиняемых виновными.

Дело Ильи Сачкова также может быть связано с DDoS-атакой на «Аэрофлот». Как заявил адвокат Михайлова Руслан Голенков, в ходе процесса над его подзащитным Сачков был свидетелем на стороне обвинения. Теперь же статус Сачкова, по сведениям источников издания, был переквалифицирован из свидетеля в обвиняемого. Возможно, свою роль в этом сыграло и досрочное освобождение Дмитрия Докучаева, который мог рассказать какие-то подробности о Сачкове.

Специфика расследований киберпреступлений в России

Первым российским хакером, получившим всемирную известность, был Владимир Левин. В 1995 году он, проживая в Санкт-Петербурге, атаковал американский Citibank. Сотрудники органов внутренних дел его вычислили, но посадить не могли: тогда в российском Уголовном кодексе (УК) отсутствовало наказание за киберпреступления. В итоге Левина выманили в Великобританию, где он был арестован по запросу США и экстрадирован в США.

Сегодня в УК есть целых четыре статьи, связанные с киберпреступлениями. Однако истории, подобные случаю с Левиным, продолжают повторяться. Раз за разом хакеров из России арестовывают в других странах по запросам США. Так, из Испании в США были экстрадированы хакеры Станислав Лисов и Пётр Левашов, из Чехии — упомянутый Евгений Никулин, из Израиля — Алексей Бурков.

Когда происходят такие задержания, российские власти, как правило, тоже предъявляют хакерам обвинения, требуя тем самым экстрадиции на Родину. Но за рубежом всё-таки предпочитают выдавать хакеров в США, хотя бывали и исключения. Например, арестованный на Кипре по запросу США хакер Дмитрий Зубаха (сотрудник компании «Ашманов и партнёры») в конце концов был отправлен в Россию, где его приговорили к условному сроку.

Бывали и случаи, когда в России судили хакеров за преступления против зарубежных структур. Так, в 2006 году Балаковский суд Саратовской области приговорил к 8 годам лишения свободы киберпреступников Ивана Максакова, Дениса Степанова и Александра Петрова, устроивших DDoS-атаку на британского онлайн-букмекера Canbet Sports Bookmakers. Расследованием этого дела занимался как раз Руслан Стоянов.

Уже находясь в СИЗО «Лефортово», Стоянов опубликовал открытое письмо. В нём он рассказал об ошибочной, по его мнению, тактике российских властей — дать киберпреступникам иммунитет от возмездия за кражу денег в других странах в обмен на разведданные. «Если это произойдёт, появится целый слой „воров-патриотов“, нарушающих принципы верховенства закона и неотвратимости наказания, — предупреждал Стоянов. — Появление таких людей сразу породит новую субкультуру. Через подпольную форму явление будет романтизировано и породит новую волну последователей, почти не контролируемых государством и по природе склонных к анонимности».

Ещё одна версия: кому могли перейти дорогу Михайлов, Стоянов и Сачков?

По данным агентства «Росбалт» (признано в России иностранным агентом), Михайлова и Стоянова арестовали за то, что они сдавали американцам российских хакеров. В свою очередь, собеседники The Bell утверждают, что Михайлов мог быть связан с делом о вмешательстве в американские выборы. Власти США обвинили сотрудников ГРУ в произошедшей в 2016 году краже переписи избирательного штаба кандидатов в президенты от Демократической партии Хиллари Клинтон (впоследствии она проиграла выборы). В обвинительном заключении назывались имена и должности сотрудников ГРУ, якобы ответственных за проведение данной атаки. Российские власти обвинения в свой адрес отвергли.

«США несколько лет назад стали пачками хватать русских хакеров по всему миру. Наши органы поняли, что кто-то льёт американцам инфу. Заподозрили в этом сначала одну группу лиц, арестовали её в 2016 году и успокоились. Но в прошлом году американцы, перед тем как начать слушания по Никулину в суде, рассекретили показания Кислицина от 2014 года. В конце допроса он пообещал ФБР передать данные о юзерах кардерского форума feteam. Всё это, по его словам, тоже было санкционировано Ильёй Сачковым», — подвела итог бывшая журналистка Мария Коломыченко, специализирующаяся на освещении этой тематики.