Подвійний обман. Як ФБР використовувало українського хакера Максима Попова



Холодним вдень 18 січня 2001 року Максим Ігорович Попов, 20-річний український хлопець, нервово штовхнув двері американського посольства в Лондоні. Його можна було прийняти за учасника програми студентського обміну, який прийшов отримувати візу, але насправді Максим був хакером, учасником східноєвропейської хакерської групи, яка атакувала американські комерційні компанії, заробляючи на вимаганні та фроде. Прокотилася хвиля таких атак виглядала немов провісник нового етапу Холодної війни між США і організованими хакерськими угрупованнями в країнах колишнього радянського блоку. Максим Попов з дитячим обличчям, в окулярах і з короткою стрижкою, збирався стати першим перебіжчиком у цій війні.

Цьому передували чотири місяці телефонних переговорів і два попередніх візиту в посольство. Зараз Попов зустрівся з помічником юридичної аташе ФБР, щоб пред'явити паспорт та затвердити остаточні домовленості. Закінчивши з формальностями, незабаром він побрів зимового холоду Гросвенор-сквер в готельний номер, який йому зняло посольство. Він відкрив свій ноутбук, а також готельний мінібар, і читав нову пошту, спустошуючи маленькі пляшки віскі, поки не вирубався. На наступний день 19 січня 2001 року Попов у супроводі агентів ФБР приїхав в аеропорт і сів на рейс авіакомпанії TWA в США.

Максим нервував, але це було радісне збудження. Він залишив батьків, інститут і все, що було знайоме, але в США він стане більше, ніж просто слухняним сином і студентом. Попов перебував у розшуку і брав участь у міжнародному змові, як персонаж одного з кіберпанківських романів, які він так любив. Він стане надавати послуги уряду за чималенький гонорар, використовуючи свої знання в сфері інформаційної безпеки, а потім запустить інтернет-стартап, щоб заробити стан і стати багатим. Такі були плани.

Але коли літак приземлився, стало зрозуміло, що договір працює трохи інакше. Доброзичливі минулого агенти ФБР кинули Максима в ізолятор, а через годину повернулися з федеральним прокурором, адвокатом і умовами угоди, які не обговорювалися: Попов стане їхнім інформатором, буде працювати без вихідних, щоб заманити подільників в пастки, розставлені ФБР. Якщо він відмовиться, то піде у в'язницю.

Максим був повністю збентежений. Він зрозумів, що його обвели навколо пальця. Хлопця помістили під цілодобову охорону ФБР на конспіративній квартирі у Фер Лейкс, Віргінія, і наказали спілкуватися зі своїми друзями в російськомовних чатах, в той час як бюро все записували. Але у Максима були власні козирі в рукаві. Він тільки робив вигляд, що співпрацює, а сам використовував незрозумілі американцям розмовні слівця, щоб попередити товаришів про те, що уряд США взяв його під варту. Коли агенти врешті-решт через три місяці отримали перекладені логи, вони прийшли в лють. Максима одразу вивезли з конспіративної квартири в камеру маленькій місцевій в'язниці, збираючись пред'явити звинувачення з минулим кіберзлочинів. Українець вів себе зухвало: «Ідіть в ж%пу, — сказав він. — Ви не знаєте, з чим маєте справу». Але хлопець був переляканий. Прокурори зі всієї країни шикувалися в чергу, щоб брати участь у процесі. Здавалося, що ніщо не врятує від безрадісного майбутнього тюремних клітин і нескінченних американських судів.

Інакше думав Ернест Гілберт (Ernest «E. J.» Hilbert), агент з глухого офісу ФБР в Санта-Ані, Каліфорнія. Він краще за всіх знав, що Попов потрібен уряду.

Гілберт зрозумів, що США знаходиться на вирішальному етапі розвитку комп'ютерної злочинності. Протягом 90-х хакерство було спортом для розваги. Але в 2000-ті роки перші поштовхи наближення землетрусу долинули зі Східної Європи. Ознаки були всюди, якщо знати, куди дивитися: зміни в типах взламываемых веб-сайтів, обсяг спаму і фішингових атак, сплеск фроду за кредитними картками після багатьох років постійного зниження. Хакерство перетворювалося на професійне і прибуткове заняття.

У 2001 році українські та російські хакери запустили сайт CarderPlanet, який дав підпільного спільноти додаткове небезпечне перевага: масштабованість. CarderPlanet працював як загальний ринок для купівлі та продажу номерів кредитних карток, паролів, викрадених банківських аккаунтів і конфіденційних даних. Сайт розміщував платну рекламу, тут була система рейтингів в стилі eBay, добре організований форум. Вперше початківець кардер міг знайти усі необхідні матеріали для роботи на одному-єдиному сайті. Реєструвалися тисячі нових користувачів.

Гілберт прийшов до висновку, що може зламати цю систему. Але спочатку йому треба було розколоти розлючену українського хакера, який одного разу вже надурил ФБР.



Максим Попов зріс в 1000-літньому місті Житомир в двох годинах їзди на захід від Києва в той час, коли Україна робила перші кроки після розпаду Радянського Союзу. Він рано опанував комп'ютери, отримавши перше освіта в школі на незграбних клони IBM XT українського виробництва під назвою «Пошук-1». На 15-річчя батько купив йому домашній комп'ютер і модем, і Максим вперше вийшов в інтернет.

Вихований на киберпанковской науковій фантастиці і фільм «Хакери» 1995 року, Максим Попов з самого початку знав дві речі. По-перше, він стане хакером поза законом. По-друге, він заробить на цьому гроші. Максим знайшов багато однодумців на російськомовних форумах. В кінці 90-х колишні радянські республіки буквально кишіли розумними молодими програмістами, у яких не було особливих кар'єрних перспектив. Кардери і хакери запустили сувою власну доткомовскую золоту лихоманку, крадучи кредитні карти з американських інтернет-магазинів.

Попов не був настільки технічно підкований, як багато його колег, але у нього був талант маніпулювання людьми та гарне знання англійської. Він почав заробляти на переведенні в готівку грошей з вкрадених кредиток, використовуючи практично бездоганний англійська для підтвердження по телефону фродовых замовлень в американських магазинах. Бізнес відмінно йшов приблизно рік, але магазини поступово почали з підозрою ставитися до адрес доставки з Східної Європи, так що схема протухла.

У той же час місцеві бандити дізналися про великих заробітках Максима і почали відвідувати його, вимагаючи гроші. Попов збагнув, що і сам може застосувати схему вимагання в більш витонченому вигляді. Він з друзями зламав комп'ютери однієї компанії, скопіював базу користувачів, а потім сам Попов зв'язався з компанією і запропонував послуги консультанта з інформаційної безпеки», щоб факт злому залишився в секреті, а базу не опублікували, з відповідною оплатою за свої послуги.

У липні 2000 року вони зламали E-Money, нині не існуючу електронну платіжну систему з Вашингтона, і викрали дані кредитних карт 38 000 клієнтів. З веб-сайту Western Union вони здобули ще 16 000 записів про користувачів, з іменами, адресами, паролями і банківськими картками. Попов йшов на контакт з компаніями та пропонував захист від зломів і знищення ураденных даних за невелику оплату консалтингових послуг в розмірі від $50 000 до $500 000.

Однак тактика принесла неприємний результат. Компанія E-Money затягувала переговори, потай зв'язавшись з ФБР, а Western Union публічно оголосила про злом, позбавивши хакера надії отримати гроші. Його зусилля ні до чого не привели, а тиск сусідських угруповань наростало. Попов відчував себе в пастці, залишаючись в Житомирі, в оточенні шахраїв середньої руки і під загрозою насильства. Він почав міркувати про сміливий крок: перейти на бік американської поліції. Максим подумав, що може втекти з України і видати себе за исправившегося хакера і експерта комп'ютерної безпеки в країні відкритих можливостей.

У підсумку він виявився замкнений у в'язниці Сент-Луїса неподалік від офісу Western Union. Принаймні до тих пір, поки агент Гілберт не прийшов за ним.

Сімейний чоловік строгих правил, немов з екрану серіалів 50-х років, Гілберт виглядав точнісінько так, як повинен виглядати федеральний агент, з серйозним поглядом і акуратними зачесаним темним волоссям. У віці 29 років він відмовився від кар'єри шкільного вчителя історії, щоб виконати давню мрію і надягти значок ФБР. З першого справи його поставили займатися кіберзлочинами: він обчислив досвідченого уральського хакера, який проник в комп'ютери комерційної компанії в Анахаймі, Каліфорнія, а потім допоміг організувати пастку, щоб виманити цього хакера в Сіетл, де ФБР могло заарештувати його. Гілберт розумів хакерів. Будучи хлопчаком з передмістя Сан-Дієго, він і сам бавився невинним хакингом, взявши собі нік Idolin — давній термін, що означає привид або дух.

Гілберт знав, що володіє російською мовою і досвідчений шахрай Попов здатний проникнути в такі місця, куди ФБР вхід закритий, через підпільні чати і форуми, встановлюючи зв'язки з членами спільноти і забезпечуючи бюро настільки необхідними доказами та оперативною інформацією. Хитрість полягала в тому, щоб почати обережно обходити Попова, погладжувати його самолюбство і демонструвати повагу його хакерскому майстерності.

Гілберт обговорив план з прокурором Лос-Анджелеса, який вів справу проти Максима Попова, і незабаром вони двоем зустрілися з українським хакером і його адвокатами в офісі прокурора Сент-Луїса. Вони изъяснили умови угоди. Попов відсидить покладене по справі в Міссурі, а уряд об'єднає інші справи і передасть у Південну Каліфорнію, де хакер відпрацює всі звинувачення, ставши агентом під прикриттям для ФБР.

На цей раз від Максима не вимагали закладати друзів. Його цілями вибрали незнайомців, до яких у хакера не було симпатії. Гілберт назвав це місією по збору розвідувальних даних, як у фільмах про Джеймса Бонда. «Я дійсно поважаю наявні у вас навички», — сказав він. Попов підписав угоду з визнанням провини і прийняв пропозицію уряду в березні 2002 року. У Гілберта з'явився мул.



Попов не міг відмовитися від шансу продемонструвати свої навички. Не встиг він зійти з рейсу Con Air в Каліфорнії, як вже сидів за комп'ютером, призначеному для вивчення законодавства, в бібліотеці в'язниці Санта-Ани. Він виявив, що машина підключена до локальної мережі в'язниці, і в кілька натискань клавіш Максим розіслав «оскверняють коментарі і зауваження» — як було зазначено потім в дисциплінарному звіті — на принтери у всіх офісах. Наглядачі поклали його обличчям на підлогу, але Попов не шкодував про скоєне. У в'язниці навіть самий маленький хак став ковтком свіжого повітря.

Довгоочікуване полегшення прийшло в серпні, коли Гілберт і ще один агент забрали хакера з камери на його перший робочий день. Під час процедури, яка стала щоденною рутиною, ноги і руки арештованого сковували ланцюгами, поки його виводили до машини. Після короткочасної поїздки вони відкривали задні двері офісної будівлі і заводили Максима в маленьку кімнату, обставлену офісними меблями, з декількома комп'ютерами під Windows, конфіскованими під час антипіратської облави. Гілберт пристібав наручники до столу навпроти комп'ютера і кириличної клавіатури. Максим був в екстазі. Порівняно з в'язницею, сірий офісний кабінет здавався президентськими апартаментами. Тут він міг зробити що завгодно.

Операцію назвали Ant City. Повернувшись в онлайн, Попов взяв собі нову особистість, почав зависати в підпільних чатах і публікувати повідомлення на CarderPlanet, видаючи себе за видатного українського скаммера, яким постійно потрібні кредитки. Його першою великою метою став один з верхівки в секретній ієрархії CarderPlanet: таємничий український хакер, відомий лише по ніку Script. Попов зв'язався з ним на початку вересня, і двоє стали листуватися безпосередньо в ICQ. Через два тижні Попов домовився про покупку вкрадених кредиток на $400. Відправляючи електронну інформацію покупцеві в Каліфорнії, Script ставав злочинцем американської юрисдикції. Згодом отримані докази призведуть до затримання хакера американською поліцією, хоча його і випустять на свободу через шість місяців.

Такі «контрольні закупівлі» вкрадених карток були ключовим елементом стратегії Гілберта: розкидати трохи грошей для Попова стало простим способом встановлення контактів, а отримавши картки, Гілберт міг через кредитні компанії з'ясувати джерело витоку. Попов продовжував укладати угоди і збирати розвіддані.

Іноді вони працювали кілька годин, а іноді працювали по 10 годин на добу. Незалежно від успіхів хакера, кожен день закінчувався однаково: Гілберт повертався додому до сім'ї, а Попов — у брудну тюремну камеру. Але одного разу на День подяки федеральний агент зробив несподіваний сюрприз своєму підопічному. Коли Попов приїхав на роботу, він побачив на столі проектор, спрямований на стіну. Гілберт натиснув пару кнопок на ноутбуці — і на екрані з'явилися вступні титри фільму «Володар кілець: Братерство кільця», який щойно вийшов на DVD.

На обід Гілберт приніс справжню святкову їжу: фаршировану індичку з журавлинним сиропом і солодкою картоплею і навіть гарбузовий пиріг. Максим був зворушений, адже Гілберт вирішив провести частину вихідних з ним, а не з власною сім'єю.


Агент Гілберт був так задоволений успіхами Попова, що купив йому обід на День подяки і приніс проектор з фільмом «Володар кілець»

Чутки про операції Ant City поширювалися в Бюро, і з часом Гілберт став отримувати запити з інших підрозділів ФБР на розслідування конкретних зломів. Найбільший стався в лютому 2003 року: у процесингової компанії International Data Processing повели 8 млн банківських карток клієнтів. Попов почав питати про DPI на форумах, і один із його знайомих, 21-річний російський студент під ніком RES сказав, що знає трьох хакерів, які здійснили цей злом.

Попов сміливо заявив, що бажає придбати всі 8 млн карток за $200 000, але спочатку хоче отримати невеликий зразок. Цей зразок дозволив би Гилберту визначити, що карти дійсно отримані з комп'ютерів DPI. Але RES тільки посміявся над пропозицією. Відносно скромні минулі покупки Попова ніяк не вказували на те, що у нього є двісті тисяч доларів.

Гілберт придумав рішення. Максима одягли у вуличну одяг і в супроводі агентів ФБР для безпеки відвели в найближчий банк, який погодився співпрацювати. Співробітники банку винесли з сховища в службове приміщення $200 000 стодоларовими купюрами і розклали на столі. Гілберт зняв наручники з Максима і записав коротке відео, як той тасує пачки готівки.

«Дивись, я показую баблос, — сказав Попов по-російськи. — Гроші справжні, мать твою, без фігні. Я покладу їх на свій рахунок». Він дістав купюру з пачки і підніс близько до камери: «Всі довбані водяні знаки, все лайно тут. Я показую тобі в упор, — він зневажливо кинув купюру на стіл. — Так що клич братву і давай блін вирішувати справу!»

Відео задовольнило росіян. Визначити особистість RES виявилося ще простіше. Попов згадав, що частина грошей заробив на роботі в компанії «Гермес-Пласт», яка займається виготовленням пластикових карт. Припускаючи, що російський хакер сам спробує влаштуватися в цю компанію, він дав посилання на веб-сайт та адресу електронної пошти передбачуваного боса Анатолія Фельдмана.

RES вислав резюме на адресу Фельдмана в той же день, разом з відсканованої копією свого національного паспорта Російської Федерації.

Звичайно ж, «Гермест-Пласт» була вигаданою компанією, яку організували Гілберт з Поповим. Тепер ФБР знало справжнє ім'я RES, його дату народження та адресу. Така напрочуд проста прийом спрацьовував знову і знову. Одну річ Попов завжди знав про східноєвропейських хакерів: їм завжди потрібна робота.



Через 8 місяців роботи на бюро, 8 квітня 2003 року Максима Попова вивели з в'язниці Санта-Ани і супроводили до суду для винесення вироку. За клопотанням американського уряду федеральний суддя Девід Картер (David Carter) виніс вирок про погашення терміну ув'язнення та трьох роках судового нагляду. Суддя негайно наказав замурувати всі записи про це вироку.

Через 28 місяців після того, як він сів на літак в США, Максим Попов нарешті опинився на волі — посеред каліфорнійського округу Оранж-каунті, в 13 кілометрах від Діснейленду і на іншій стороні планети від рідного Житомира. Його імміграційний статус був неясний. У Максима не було грін-карти або номери соціального страхування, так що він не міг отримати легальну роботу в Америці або водійські права. Гілберт подбав, щоб ФБР зняло йому квартиру біля пляжу і виплачувало тисячу доларів щомісячної «стипендії» за участь в операції Ant City. Але Попов так і не зміг звикнути до рутинної життя в приміському спеці посеред автострад і торгових центрів. В один з липневих днів він стояв на автобусній зупинці біля офісу пробації, коли до нього підійшов місцевий житель, він був напідпитку, поводився агресивно і лаявся. Максим Попов вдарив його несильно, але місцевий житель втратив свідомість і розпластався на тротуарі. У паніці Максим зателефонував у ФБР, вже уявляючи, що його відправлять назад до в'язниці. Він твердо вирішив для себе: якщо вдасться вибратися з цього, він повернеться додому.

Суддя Картер дав дозвіл Попову відвідати Україну, з умовою обов'язкового повернення до 18 серпня в Каліфорнії, де він повинен прожити залишок свого трирічного строку під судовим наглядом. Гілберт відвіз його в аеропорт і попрощався, точно знаючи, що більше ніколи його не побачить.

Операція Ant City завершилася. За оцінкою Гілберта, за цей час на чорному ринку було виявлено близько 400 000 вкрадених кредиток, і більше 700 компаній попереджені, що їх зламали хакери зі Східної Європи. Проти десяти підозрюваних висунули звинувачення, в тому числі проти Script, але нікого не екстрадували.



Гілберт підтримував зв'язок з Поповим після його повернення на батьківщину. Той заснував свій бізнес, відкрив компанію під назвою Cybercrime Monitoring Systems (Cycmos). Як описує її сам Попов, компанія відстежує підпільні ринки і продає розвіддані компаніям, проти яких готується або вже здійснена атака. Гілберт підтвердив, що так і є. Судячи з усього, Максим Попов почав застосовувати у своєму бізнесі навички, отримані під час операції Ant City. Він також надсилав Гилберту постійний потік наведень та інформації, по старій дружбі.

Напередодні нового 2004-го року мобільник Гілберта задзвонив: «Ей, знаєш що? — це говорив Попов своїм рівним, приємним акцентом, — Тут дещо новеньке». Він пояснив, що мова йде про великому зломі. І, що характерно, на цей раз жертвою стала не якась компанія, а саме ФБР.

Попов стежив за однією хакерської групою, яка спеціалізувалася на роботі з мережевим протоколом доинтернетовской епохи X. 25, який використовувався в 70-е і 80-е роки в перших мережах загального користування з комутацією пакетів. До 2004 року протокол X. 25 застарів, як Betamax по відношенню до VHS, але старі мережі все ще підтримували його для зворотного совеместимости в тисячах корпорацій і державних агентств по всьому світу.

Російські хакери рилися в цих стародавніх мережах, і одного разу натрапили на дещо цікаве. Вони пройшли через комп'ютерну мережу дата-центру AT&T в Нью-Джерсі, де за контрактом були встановлені поштові сервери низки урядових агенцій США. Одним з них було ФБР, що давало доступ російським листуванні всіх агентів з поштовими адресами @fbi.gov.

Гілберт повісив трубку і відразу зателефонував начальнику. Незабаром він був на літаку в Вашингтон, щоб очолити розслідування. Гілберт домігся, щоб ФБР виділив суму $10 000 для оплати послуг компанії Cycmos, яка дістане який-небудь матеріал, вкрадений з серверів ФБР, і встановить особистості кого-небудь з хакерів, які брали участь в операції. Попов передав два документи, за його словами, отримані з поштових скриньок ФБР: 11-сторінкове досьє на одного з адміністраторів CarderPlanet під ніком King Arthur, а також електронні таблиці з переліком кіберзлочинних цілей ФБР і Секретної служби, розділені за юрисдикцій.

Список цілей був піврічної давнини і забезпечений позначками «Law Enforcement Sensitive» («Конфіденційна інформація правоохоронних органів») і «Do not transmit over the Internet» («Не передавати через інтернет»). Для спільноти це потенційно була золота жила, тому що документи містили ніки — а в деяких випадках і реальні імена — більше 100 хакерів, які потрапили під приціл американського уряду, з поверхневими позначками на кшталт «пріоритетна мета» або «в даний момент співпрацює з урядом». Про витік поінформували Білий дім, що підняло ставки ще вище. Гілберт попросив Попова добути більше інформації.

Максим почав копати. Він вказав Гилберту підпільний чат, де можна знайти лідера хакерської групи, яка спеціалізується на X. 25. Незабаром Гілберт сам спілкувався з Леонідом Соколовим, студентом Санкт-Петербурзького університету. У бесіді він підтвердив злом дата-центру AT&T і крадіжку документів. Гілберт отримав, що хотів. Це було найбільше справа в його кар'єрі.


«Баблос справжній!, — заявив Попов у відео, знятому для російського хакера. — Так що клич братву і давай блін вирішувати справу!»

Але не обійшлося без неприємних інцидентів. 10 лютого 2005 року Гілберта викликали в штаб-квартиру ФБР. У конференц-залі сиділи п'ять начальників, а розгніваний федеральний прокурор лаявся по гучномовному зв'язку.

Виявилося, що жертвами хакерської групи X. 25 стали кілька корпорацій, а Максим Попов звернувся до них, пропонуючи свою допомогу. Однією з жертв стала бостонська EMC з багатомільярдними оборотами, у неї хакери викрали вихідний код популярного програмного забезпечення для віртуалізації VMware. Якщо вихідний код потрапить у відкритий доступ, то хакери з усього світу можуть досліджувати його у пошуках вразливостей. VMware використовується для ізоляції віртуальних машин на одному сервері, так що в найгіршому сценарії зловмисник може використовувати баг в програмі і вийти з ізольованого оточення однієї віртуальної машини, отримавши доступ до сервера і всім іншим віртуальним машинам.

Використовуючи свій стандартний бізнес-псевдонім «Денис Пинхаус» (Denis Pinhaus), Попов зв'язався з компанією EMC і попередив їх про злом. За відповідну ціну він пообіцяв запобігти публікації джерел у відкритому доступі і допомогти у технічному розслідуванні злому. Як і раніше, Попов повідомив EMC ім'я та контактну інформацію агента ФБР, який може підтвердити його надійність: Ернест Гілберт.

Очевидно, EMC порахувала, що в наявності спроба вимагання, і повідомила в бостонську прокуратуру. Заява потрапила на стіл Стівена Хеймана (Stephen Heymann), жорсткого прокурора. Він спеціалізувався на комп'ютерних зломах, а пізніше сумно прославився через переслідування інтернет-активіста Аарона Шварца, якого в підсумку довів до самогубства.

Тепер Хейман по гучномовному зв'язку вимагав відповіді: хто такий Пинхаус? Гілберт пояснив, що Пинхаус був активом ФБР, який допомагав з терміновим розслідуванням. «Мені зараз потрібен цей хлопець», — сказав він. Хейман не похитнувся. Він наполягав, що проти українця слід висунути звинувачення і домагатися його екстрадиції. Він вимагав від Гілберта видати його реальне ім'я.

Гілберт відмовився. У Хеймана залишалося право завести кримінальну справу на Пинхауса під його псевдонімом і запитати у ФБР через офіційні канали інформацію про його справжнє ім'я. Але від Гілберта він його не отримає.

Така відмова був неприйнятний для прокурора з Бостона — того міста, де досі пам'ятали найбрудніший скандал з інформаторами ФБР. Прокуратура відправила до в'язниці колишнього агента ФБР, який десятиліттями прикривав вбивцю і одного з гангстерських ватажків в Південному Бостоні за те, що той працював інформатором. «Це ще одна справа Уайті Балджера!», — гарчав прокурор.

Начальник наказав Гилберту вийти з кімнати. Гілберт пішов до свого комп'ютера і відправив повідомлення Попову, щоб той тримався подалі від EMC: «Кинь це, добре? — згадує Гілберт текст. — Це важливо. Всі вивчають цю ситуацію. Тобі потрібно кинути».

Гілберт повернувся до справи AT&T. Соколову пред'явили звинувачення на закритому засіданні в Нью-Джерсі, був виданий секретний ордер Red Notice в Інтерпол на його арешт, як тільки він залишить Росію і заїде в країну, що підписала договір про екстрадицію до США. Попов отримав гонорар і офіційний лист подяки від ФБР, яке міг розмістити на своєму веб-сайті: «Ми висловлюємо нашу вдячність за надану допомогу».

Вся справа так і залишилося приховано в темних глибинах історії ФБР. Єдиним публічним згадкою про злом FBI.gov стала стаття в Newsweek в 2005 році, і бюро преуменьшило інцидент, заявивши про те, що ніякої інформації не викрадено.

Суперечка з бостонським прокурором майже стерся з пам'яті Гілберта. Але через чотири місяці з бюро несподівано надійшов наказ перервати всякі контакти з Поповим та передати понад 600 сторінок логів за 18 місяців онлайнової листування. Незабаром після цього його перевели з відділу по боротьбі з кіберзлочинністю в підрозділ по боротьбі з тероризмом.

Гілберт поринув у нове завдання, але з часом помітив дещо дивне. Його усували від будь-яких заохочень, а агенти, яких він знав десятиліттями, перестали з ним розмовляти. У серпні 2006 року він подав заявку на позицію начальника в лос-анджелесское підрозділ. Коли інформація про вакансії дійшла до штаб-квартири, Гілберта несподівано викреслили зі списку кандидатів і сказали, щоб він не заявлявся повторно. «Що за чортівня відбувається?», — запитав Гілберт свого начальника. Тоді він і дізнався про те, що було відомо всім оточуючим: щодо нього ведеться розслідування. Ось вже цілий рік управління Міністерства юстиції Генерального інспектора вело справу за підозрою в шахрайстві і змові проти уряду, а також витоку конфіденційної інформації правоохоронних органів — попередження, яке він відправив Попову з приводу EMC.

Гілберт був спустошений. Він завжди мріяв про роботу в ФБР, але розслідування може опустити шлагбаум для його підвищення по кар'єрних сходах, а у нього вдома двоє дітей і третій на підході. Він почав потихеньку шукати можливості працевлаштування у приватному секторі, і в лютому 2007 року він зайшов у кабінет начальника, здав зброю, посвідчення і звільнився. Те саме видатне розслідування у результаті поклало кінець його восьмирічної кар'єрі в ФБР.

Гілберт добре вів справи на новому робочому місці як консультант, коли Попов знову подзвонив йому, абсолютно несподівано. З моменту їх останньої розмови минуло більше шести років, і на цей раз у Попова не було ділової пропозиції і ніякої цінної інформації. Лише подяку.

«Він подзвонив мені сказати спасибі за те, як я ставився до нього, й за своє перебування у в'язниці, і як це все було зроблено, — сказав Гілберт мені за обідом у сімейному ресторані Оранж-каунті на початку 2013 року. — Зараз він приїхав додому і змінив своє життя, у нього тепер сім'я, і він зобов'язаний мені всім, що у нього є — це його слова».

Дзвінок від Попова тільки розворушив у Гілберті те неясне відчуття, що уряд несправедливо з ним обійшлося. Навіть після його звільнення офіс Генерального інспектора продовжував розслідування проти нього, а одного разу навіть послав агентів на робоче місце Гілберта для допиту. Зрештою, тільки в 2009 році розслідування було припинено, коли Міністерство юстиції формально відмовилася висувати звинувачення.

У бесіді зі мною Максим Попов спочатку розповів те ж саме, що і Гілберт. Але з часом з'явився додатковий підтекст. Попов затаїв особисту образу на EMC за ту історію. Справа в тому, що до моменту дзвінка Гилберту він вже врегулював угоду з EMC.

Виявилося, що одночасно зі скаргою прокурора корпорація EMC потай уклала угоду з Поповим у 2005 році, каже він, і заплатила йому $30 000 відразу, а також обіцяла ще $40 000 чотирма платежами за чотири роки за умови, що вкрадений код VMware не потрапить у відкритий доступ. Він виконав свою частину угоди. Код ніколи не був опублікований, і сам факт того, що найцінніші активи корпорації знаходяться в руках іноземних хакерів, залишився невідомий акціонерам та клієнтам компанії.

Через чотири роки він зв'язався з EMC, щоб компанія виплатила йому залишок від загальної суми $70 000, але компанія відмовилася платити, каже він (представники EMC відмовилися від коментарів). До того моменту EMC виділила VMware в окремий бізнес. Для Попова це виглядало, наче вони хочуть зробити вигляд, що нічого і не було.


Гілберт зайшов у кабінет начальника, здав зброю, посвідчення і звільнився — його восьмирічна кар'єра в ФБР була закінчена

Явну неповагу зачепило Максима і він захотів помститися. Попов створив нову особистість — Hardcore Charlie, хактивиста з руху Anonymous. 23 квітня 2012 року, майже через вісім років після крадіжки, перші 520 рядків вихідного коду VMware з'явилися у відкритому доступі.

Незважаючи на вік исходников, інформація про витік наробила шуму в комп'ютерному світі і підняла на вуха співробітників в офісах VMware в Пало-Альто. Злом 2004 року давно зник з корпоративної пам'яті, а частина вкраденого коду ядра раніше використовувалася в останній версії продукту. Директор з безпеки Іен Малхолланд (Iain Mulholland), колишній офіцер британської армії, розгорнув потужну операцію щодо мінімізації збитку і найняв всіх аудиторів, до яких міг дотягнутися, для пошуку вразливостей в коді ядра. Компанія випустила перший з численних оновлень безпеки, які латали знайдені дірки, вже через 10 днів. До часу, коли Попов виклав більш об'ємний фрагмент коду у листопаді 2012 року, всі критичні уразливості були усунені.

Такі дії не дуже схожі на дії звичайного консультанта з інформаційної безпеки. Коли я злегка натиснув на Максима, він нарешті визнав очевидне: злом EMC і поштових серверів ФБР був не простий атакою випадкового хакера.

«Технічно, це зробили ми», — сказав мені Максим у телефонній розмові пізно ввечері.

Соколов, той пітерський студент, проти якого ФБР висунуло звинувачення і якого оголосив у розшук Інтерпол, з самого початку працював разом з Поповим, вичавлюючи гроші після зломів X. 25. «Він кращий з кращих», — сказав Попов. Коли вони проникли в дата-центр AT&T, Попов прийшов до висновку, що телекомунікаційний гігант легко заплатить $150 000, щоб дізнатися подробиці злому і захистити свої урядові контракти. Тільки коли AT&T відмовилася від угоди, Попов подзвонив Гилберту і сказав про злом, сподіваючись, що ФБР заплатить за інформацію.

Уклавши угоду з Гілбертом, Попов умовив Соколова поговорити з агентом в чаті, щоб той «розкрив» злочин. Попов каже, що сам Гілберт не був учасником змови. «Думаю, він щось підозрював, насправді, — каже Попов. — Але тоді це було не так очевидно».

Я не можу підтвердити, підозрював щось Гілберт чи ні, тому що до моменту визнання Попова сам Гілберт припинив спілкування зі мною, оскільки оголошення всій цій історії з операцією Ant City може пошкодити його нової кар'єри на посаді директора з комп'ютерної безпеки та захисту даних в найбільшої компанії з консалтингу та аудиту PricewaterhouseCoopers.

Зі свого боку, Попов, якому зараз 35 років, здається одночасно зухвалим і стомленим. Він не шкодує про злом ФБР. Але його зухвалість злегка гасне, коли я питаю, яку роль зіграла його лукавість в руйнуванні кар'єри Гілберта в ФБР.



За роки, що минули після операції Ant City, підпільне співтовариство в Східній Європі пройшло великий шлях і зросло до величезних масштабів. Зломи Target і Home Depot призвела до витоку майже 100 мільйонів дебетових і кредитних карт в 2013 і 2014 роках. Зроблений в Росії банківський троян ZeuS сприяв зростанню крадіжки з онлайн-банкінгу до максимальних показників за 10 років. Черв'яки і ботнети, вимагачі, які шифрують файли і вимагають викуп за биткоины, навіть складна схема інсайдерського трейдингу зі збитком в $100 млн — все це пов'язано з хакерами з колишніх радянських республік. Як зазвичай, масштабованість вирішує все. Російський хакер не зламує банк, щоб вкрасти трохи грошей. Він створює пакет програмного забезпечення, який автоматизує злом банків, і продає його на підпільних форумах по $3000 за копію. Його клієнти — справжні злодії — наймають спамерів для поширення шкідників і грошових мулів для відмивання грошей. У кожного своя спеціалізація. Кожен отримує винагороду.

Робота Гілберта з Поповим стала першою спробою розколоти цей світ, хоча у багатьох відношеннях це був просто новий прийом традиційної тактики правоохоронних органів. Коли федеральне агентство стикається з потужною кримінальної машиною, воно незмінно намагається саботувати її роботу зсередини. І щоб зробити це, агентство має стати робочим компонентом у тому самому кримінальному механізмі, який сподівається зруйнувати. Така тактика завжди загрожує тендітному балансу, і операція Ant City стала не останнім прикладом, коли вона приносить зворотний ефект. Незабаром після неї у іншій справі інформатор Секретної служби Альберт Гонсалез вступив у таємну змову з російськими хакерами, що призвело до витоку 160 мільйонів кредитних карт і завдало збитків на сотні мільйонів доларів — перш ніж його впіймали і засудили до 20-річного тюремного ув'язнення в 2010 році. Федеральний прокурор, помічник прокурора Хеймана, просив 25 років.

Деякі операції завершуються арештами та врученням нагород, інші — тишею і розгубленістю. Єдине залишається незмінним — це андеграунд Східної Європи, який перемелює на своєму шляху будь-які перешкоди, як будь-яка машина, невтомно й байдуже, в основному, просто в пошуках оплачуваної роботи.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.