15 марта Министерство юстиции США официально обвинило двух сотрудников ФСБ и двух хакеров российского происхождения в том, что они взломали компанию Yahoo и получили доступ к нескольким миллионам почтовых ящиков. Среди них — аккаунты российских журналистов, американских и российских чиновников, российских инвестбанкиров, сотрудников американской авиакомпании и многих других. Один из обвиняемых сотрудников ФСБ, Дмитрий Докучаев, в декабре 2016 года был задержан в России по подозрению в госизмене; при этом хакер Алексей Белан находился в розыске ФБР с 2013-го. «Медуза» рассказывает главное, что известно об этой истории.
Кого и в чем обвиняют
15 марта Министерство юстиции США предъявило обвинения во взломе компании Yahoo и краже миллионов почтовых аккаунтов. Обвиняемые — группа из четырех человек. В нее вошли два сотрудника ФСБ, в конце 2016 года обвиненные в России в госизмене, а также два хакера, чьими услугами якобы пользовались офицеры ФСБ.
По версии обвинения (полный текст выложен на сайте Минюста США), преступная деятельность осуществлялась как минимум с 2014 года и до конца 2016-го. Граждане РФ, офицеры ФСБ Дмитрий Докучаев и Игорь Сущин, «вступили в сговор с целью осуществления сбора информации в компьютерных сетях в США и за их пределами». Они действовали совместно с двумя хакерами — Алексеем Беланом (гражданином РФ) и Каримом Баратовым (гражданином Канады и Казахстана), а также платили им за работу. В тексте обвинения говорится, что заговорщиков могло быть и больше, но их имена неизвестны следствию и «большому жюри» — коллегии присяжных, которая определяла обоснованность обвинительного заключения.
О предъявлении обвинения объявили генеральный прокурор США Джефф Сешнс, директор ФБР Джеймс Коуми, а также представители нескольких других силовых ведомств и федеральный прокурор по Девятому округу, в котором рассматривается дело.
Как минимум одной из целей офицеров ФСБ, по версии следствия, было получение информации о лицах, интересующих российские органы безопасности: журналистах, сотрудниках российских и американских ведомств, служб и компаний, связанных с интернет-безопасностью. Также участники группы получили доступ к информации коммерческих структур в России, США и Франции, а еще взломали электронный кошелек с биткоинами в Швейцарии. Алексей Белан, по версии следствия, не только передавал полученную информацию своим кураторам из ФСБ, но и использовал ее для личного обогащения.
В тексте обвинения отмечается, что Алексей Белан, который находится в международном розыске с 2012 года, живет в России — то есть находится в юрисдикции ФСБ. Однако вместо того, чтобы арестовать его, служба решила нанять его на работу. Исполняющий обязанности помощника генпрокурора Мэри Маккорд, также выступавшая на оглашении обвинения, заявила: «То, что преступникам помогал тот самый отдел ФСБ, с которым агенты ФБР сотрудничают для предотвращения киберпреступлений, выходит за все возможные рамки».
Что именно делали взломщики
Всего в деле против офицеров ФСБ и хакеров 47 эпизодов. Их обвиняют в сговоре с целью компьютерного мошенничества, экономического и промышленного шпионажа, а также в разработке и распространении вредоносных программ. По разным пунктам обвинения фигурантам грозит от двух до 20 лет, причем в США сроки по отдельным эпизодам складываются.
Жертвами хакерской группы стали в том числе россияне. Например, в материалах сказано, что они взломали почту журналиста-расследователя из газеты «Коммерсант». Также они пытались проникнуть в почты «помощника заместителя председателя Российской Федерации» (вероятно, имеется в виду помощник вице-премьера правительства), офицера управления «К» МВД России (занимается расследованием киберпреступлений) и сразу трех сотрудников одной из крупных российских компаний, занимающихся кибербезопасностью, — в частности, ее директора. Взломанным оказался ящик одного из руководителей «российского почтового интернет-сервиса». Имена всех пострадавших скрыты.
Среди иностранцев хакеров прежде всего интересовали граждане «страны, граничащей с Россией». В этой неназванной стране они взломали почту бывшего главы минэкономразвития, главы металлургического холдинга, крупного банкира и «известной представительницы бизнес-кругов». Помимо этого, значительная часть взломанных аккаунтов использовалась для похищения данных кредитных карт.
Для заработка хакеры также использовали манипуляции с поисковым движком Yahoo. Так, в определенный момент поисковик по запросу о лекарствах для улучшения мужской потенции выдавал ссылку на онлайн-аптеку, но через сайт-прокладку. В результате подконтрольный мошенникам ресурс получал комиссионные от аптеки за привлеченных клиентов.
Слева направо, сверху вниз: Дмитрий Докучаев, Игорь Сущин, Алексей Белан, Карим Баратов
Фото: U.S. Department of Justice
Что известно об обвиняемых
Дмитрий Докучаев работал в Центре информационной безопасности ФСБ. В декабре 2016 года его вместе с заместителем начальника этого центра Сергеем Михайловым задержали по подозрению в госизмене. Сейчас оба арестованы. В чем именно они обвиняются, из официальных источников неизвестно. По данным «Росбалта», Михайлов и Докучаев продавали «различного рода информацию» еще одному фигуранту дела, руководителю отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслану Стоянову. Тот впоследствии отправлял ее американским аналитическим компаниям, сотрудничающим со спецслужбами.
По неофициальным данным, Дмитрий Докучаев раньше был хакером, известным под псевдонимом Forb, а в 2006 году его завербовала ФСБ. В спецслужбе он дослужился до майора. Уже устроившись в ФСБ, Докучаев продолжал писать в журнал «Хакер».
Как пишет «Росбалт», Дмитрий Докучаев участвовал в расследовании деятельности хакеров из «Шалтая-Болтая» — и даже сам участвовал во взломах. Формально дело о госизмене, по которому проходит Докучаев, и дело задержанного руководителя «Шалтая-Болтая» Владимира Аникеева не связаны.
Игорь Сущин прежде никак не упоминался публично. По данным ЕГРЮЛ, человек с полностью совпадающими именем, фамилией и отчеством с 2009-го по 2011-й владел долей в частном охранном предприятии «Базис». Зарегистрирован «Базис» был по адресу в Москве, где находится офис принадлежащей миллиардеру Михаилу Прохорову группы «Онэксим». В обвинительном заключении упоминается, что Сущин в качестве «подсадного сотрудника» возглавлял отдел информационной безопасности в одном из российских инвестбанков.
29-летний уроженец Риги Алексей Белан, который фигурировал в интернете под именами Fedyunya, Magg и Abyrvaig (вероятно, переиначенное «абырвалг» из романа Булгакова «Собачье сердце»), попал в список хакеров, которых ФБР разыскивает в первую очередь, в 2013 году. Тогда его обвинили в том, что он похитил базы данных трех американских компаний, занимающихся торговлей в интернете и расположенных в Калифорнии и Неваде, и продал данные миллионов пользователей. Сообщалось, что хакер был замечен на Мальдивских островах, в Таиланде и в Греции; за его поимку была назначена награда в 100 тысяч долларов.
29 декабря 2016 года Белан наряду с руководством ГРУ и другим хакером, Евгением Богачевым, был персонально упомянут в заявлении Госдепартамента о введении санкций против России в связи с кибератаками на избирательную систему США.
Биография Карима Баратова неизвестна. В отличие от остальных обвиняемых, он жил в Канаде, а не в России, и имел канадский паспорт. Согласно обвинительному заключению, Баратов работал лично с Докучаевым.
Что дальше
Как сообщил «Интерфаксу» высокопоставленный источник в Москве, США не обращались к российским властям по вопросу обвинения в адрес «четырех россиян» (в обвинительном заключении фигурируют трое граждан России). По мнению источника, «этот факт, а также отсутствие конкретики в указанном деле наводят на мысль об очередном витке использования темы „русских хакеров“ во внутриполитической борьбе в США».
У обвиняемых конфискуют имущество. В частности, в обвинительном заключении Министерства юстиции упоминаются принадлежащий Баратову аккаунт PayPal, зарегистрированный под именем Elite Space Corporation («Элитная космическая корпорация»), а также черный Mercedes Benz C54 и серый автомобиль Aston Martin DBS с номерными знаками «MR KARIM».