Samuel Corum / Getty Images / AFP / Scanpix / LETA
истории

Ручные хакеры, экстравагантные миллионеры Как Evil Corp — самая могущественная хакерская группировка в мире — связана с российскими силовиками. Расследование Лилии Яппаровой

Источник: Meduza

5 декабря США выдвинули официальные обвинения против российской хакерской группировки Evil Corp. Ее называют «самой вредоносной в мире»: ущерб от атак Evil Corp против банков оценивается в сотни миллионов долларов. Организатором группировки американский Минюст считает Максима Якубца — он остается на свободе и в марте 2019 года еще активно участвовал в хакерской деятельности. Корреспондент отдела расследований «Медузы» Лилия Яппарова выяснила, что Evil Corp состоит из родственников чиновников и силовиков — и рассказывает, как живет близкий к российским спецслужбам хакер Максим Якубец, за чью голову назначена награда в пять миллионов долларов.


An English-language summary of this story is available here.

В июле 2009 года хакерскую группировку, участником которой был Максим Якубец, начали одолевать коллеги. «Ну, поздравляю! ********* [сойти с ума] можно, про тебя в новостях пишут», — звучало одно из сообщений в чате группы (позднее его вскрыло ФБР). Незадолго до этого в The Washington Post вышла статья о «киберпреступниках из Украины, которые украли 415 тысяч долларов из казны округа Буллитт штата Кентукки». Хакеров, скорее, шокировала эта публикация: они не ожидали, что к ним придет мировая известность — хотя некоторым из них эта слава польстила. Однако 22-летний Максим Якубец — под ником aqua — отреагировал максимально жестко: «Они описали всю схему! Ублюдки. <…> Реально бесит». 

Десять лет спустя Якубец сам возглавил группу хакеров, которую назвал Evil Corp, начал воровать с помощью нового банковского трояна — и ездить по Москве на суперкаре Lamborghini Huracan. Москвичи в своих телефонных книжках называют Якубца «Мистер прокурор»; за информацию, которая приведет к аресту россиянина, США готовы заплатить пять миллионов долларов — это самая большая награда, которую когда-либо назначали за помощь в поимке киберпреступника. В американском Минюсте действия Якубца назвали «столь дерзкими и изощренными, что, не будь они реальны, их трудно было бы даже вообразить».

Помимо кражи банковских данных Якубец занимался и взломами по заказу российских спецслужб. Минфин США утверждает, что с 2017 года хакер работал на ФСБ; одним из его заданий было получение доступа к неназванным «конфиденциальным документам». В российском министерстве иностранных дел эти заявления назвали «пропагандистской атакой». «Медуза» выяснила, что правы, скорее всего, американцы, а хакерская группа не просто сотрудничает со спецслужбами — она буквально состоит из родственников российских чиновников и силовиков.

Сажают только для галочки

В состав Evil Corp, по информации американских властей, входит 17 человек из шести стран. Группировка сформировалась около 2011-го, через два года после публикации в The Washington Post об ее предшественнице, в которую входил Максим Якубец. Российским силовикам Evil Corp известны как люди, к которым можно обращаться, например, по поводу освобождения денег с заблокированных банковских счетов. «Ценник они выкатили совершенно конский, — рассказывает „Медузе“ лично знакомый с хакерами ветеран ФСБ. — Моих знакомых перуанцев, которые добывают алмазы в Южной Америке, тогда хлопнули за финансирование картеля. Они картелю дань платили, чтобы работать на его территории, и американцы заблокировали им счета за это. Перуанцы обратились ко мне — я их просто знаю давно — и я нашел им этих хохлов, чтобы вытащить замороженные деньги».

Впервые с российскими силовиками Якубец столкнулся еще в 2010 году — в статусе обвиняемого по американскому делу хакерской группировки Jabber Zeus Crew, заражавшей компьютеры по всему миру трояном Zeus для кражи денег с электронных кошельков и банковских счетов. Россия тогда помогала в расследовании ФБР, и Якубца удалось идентифицировать почти сразу: хакер был настолько неосторожен, что использовал для работы тот же адрес электронной почты, через который заказал доставку на дом детской коляски. Агент ФБР, занимавшийся этим делом, в своих показаниях перед судом штата Небраска указывал, что Якубца следует обвинить по двум статьям уголовного кодекса США: «посягательство на совершение преступления» и «мошенничество в банковской сфере». Максимальное наказание по второму — до 30 лет заключения.

Когда 24 ноября 2010 года в московскую квартиру Якубца пришли с обыском, он был дома. В материалах американского обвинения фигурирует присутствовавшая в той же квартире женщина — первая жена Якубца (у них в 2009-м родился сын). Российские власти, говорится в американском обвинительном заключении по делу Якубца, передали американской стороне найденную при обыске информацию — однако ни о задержании, ни о других следственных действиях в отношении Якубца со стороны российских силовиков в деле ничего не указано.

После этой встречи отношения хакера с силовиками могли развиваться только по одному сценарию, утверждают собеседники «Медузы». Первые столкновения кибермошенников со спецслужбами почти никогда не заканчиваются тюрьмой, говорят два собеседника «Медузы» в ФСБ и ветеран войск связи. «Если при первичном общении оказывается, что они совсем отмороженные, то такие долго не живут, а все остальные начинают сотрудничать», — рассказывает ветеран ФСБ, работавший с хакерами. «Сажают действительно редко и только для галочки», — говорит генеральный директор Института исследований интернета Карен Казарян.

ФСБ принуждает кибермошенников к сотрудничеству еще с конца 1990-х, отмечает ветеран спецслужбы — такой курс был взят, когда в спецслужбе осознали прибыльность нового типа высокотехнологичных преступлений. «Как только первый безродный студент технологического вуза вывел на улицы Москвы свою Ferrari, так контора и начала этим заниматься. Хотели поставить это дело на контроль, оседлать бизнес, как говорится, — вспоминает собеседник „Медузы“. — Когда мы их находили, ставили работать на отдельных руководителей подразделений. Вот с тех пор все эти ребята и находятся на службе». 

Избежать сотрудничества со спецслужбами в свое время не смогли даже самые неуправляемые киберспециалисты, рассказывает близкий к хакерам собеседник. «Был один хакер совершенно отмороженный: байкер, без пальца на одной руке, однажды даже убил педофила — забил табуреткой прямо в баре, отсидел за это, — вспоминает собеседник. — Но когда они с товарищами квартиру сняли и начали оттуда работать, их очень быстро фейсы вычислили и накрыли. Естественно, сажать никто никого не стал — просто заставили работать на себя». 

Максим Якубец — не первый российский киберпреступник, которого за рубежом обвиняют в сотрудничестве с российскими властями. Топ-менеджер «Лаборатории Касперского» Руслан Стоянов, который отбывает срок за госизмену, рассказывал, что за выполнение государственных задач хакеров вознаграждают «покровительством»; Стоянов называл такой формат сотрудничества «иммунитетом от возмездия за кражу денег <…> в обмен на разведданные».

В 2017 году у лидера Evil Corp Максима Якубца появились и личные причины начать помогать ФСБ — он стал родственником влиятельного силовика.

«Секретка» особой важности

Летом 2016 года атаки Evil Corp на время утихли: последний всплеск рассылки фишинговых писем случился 15 и 16 августа. Остаток месяца Максим Якубец провел в Крыму, на самом дорогом курорте полуострова. За неделю в Mriya Resort & SPA хакер заплатил больше миллиона рублей. Этот отель на ялтинском побережье с высоты напоминает цветок лотоса, вытянувшийся лепестками к Черному морю; президент Владимир Путин хвалил главу Сбербанка Германа Грефа за построенный на деньги учреждения комплекс. 

Якубец в Mriya останавливался не один. Согласно данным о перелетах, оказавшимся в распоряжении «Медузы», вместе с хакером на российские курорты часто летает Алена Бендерская: в 2017-м она вместе с членами Evil Corp провела январские праздники в Сочи; летом того же года Бендерская с Якубцом побывали на Байкале. Номер в лодж-отеле «Байкальская резиденция» в документах бронирования был описан так: «Комплиментарно для just married». «Медузе» неизвестно, зарегистрирован ли брак Якубца и Бендерской официально — но масштабную свадебную церемонию они провели, как обнаружило «Радио Свобода». Информацией о том, что летом 2017 года глава Evil Corp сыграл свадьбу, также делились британские силовики.

Максим Якубец и Алена Бендерская

Кадр из видео свадебного агентства «Карамель»

После свадебной церемонии прекратила обновляться вся открытая или полуоткрытая информация не только о Максиме Якубце, но и об остальных членах группировки. Пропадают, например, данные о пересечении ими государственной границы. Это может быть связано с личностью предполагаемой невесты. Полная тезка Алены Эдуардовны Бендерской состоит в руководстве или является совладельцем семи юридических лиц, три из которых, согласно данным «СПАРК-Интерфакс», связаны с президентом благотворительного фонда «Вымпел», бывшим спецназовцем ФСБ Эдуардом Бендерским. «Бывший сотрудник, но до сих пор очень влиятельный, очень. У него нефтянка и бизнесов куча. И ЧВК своя на Ближнем Востоке», — рассказывает знакомый с Бендерским ветеран ФСБ. 

Почему Бендерский очень влиятелен?

О влиятельности Бендерского, уволившегося со службы всего лишь в звании старшего лейтенанта, свидетельствует его деятельность как главы «Клуба горных охотников». Бендерский — не только один из самых публичных представителей трофейной охоты, он практически возглавляет охотничье лобби в России. До 2013 года Бендерский возглавлял Росохотрыболовсоюз — ассоциацию общественных объединений охотников и рыболовов. В «Клубе горной охоты» также состоят несколько человек, занимающих государственные должности, и крупные бизнесмены.

Как писала «Медуза», в сентябре 2016 года клуб попросил тогдашнего вице-премьера правительства Александра Хлопонина разрешить отстрел пяти путоранских баранов, входящих в Красную книгу: в ответ на частный запрос охотничьего клуба вице-премьер поручил Минприроды разработать «пилотный проект по взаимодействию» (юрист «Гринписа России» Михаил Крейндлин в разговоре с «Медузой» тогда сказал, что впервые сталкивается с ситуацией, когда отстрела животных добиваются на таком высоком уровне). А когда в декабре 2019 года «Клуб» начал лоббировать развитие спорта для снайперов, инициативу сразу поддержал министр спорта Павел Колобков. 

В инстаграме Бендерская подписана на аккаунт «Lamborghini Club Russia»; свой день рождения она отпраздновала «в стиле Dolce&Gabbana», как рассказывали гости праздника. В соцсетях Бендерскую, завсегдатая московских вечеринок, просят выкладывать совместные фотографии с другими участниками клубной жизни Москвы. «Как разъезжающий по Москве на Lamborghini парень мог познакомиться с дочкой силовика? — рассуждает близкий к ФСБ собеседник „Медузы“. — Да просто вся эта тусовка молодежная, где тратится нереальное количество денег, она же очень узкая — и понятно, что в ней крутятся дети генералов».

В год свадьбы Якубец начал сближаться с ФСБ, а с апреля 2018-го хакер находился в процессе получения лицензии службы на работу со сведениями, составляющими государственную тайну, утверждает американский Минфин. «„Секретка“ хакеру нужна, чтобы искать компромат на наших чиновников, хранящийся за рубежом», — считает близкий к ФСБ собеседник. «У Evil Corp основные цели были — лондонские финансовые организации. А в Лондоне наших денег полно. Очевидно, что если они фигачили [хакерские атаки] по различным фондам, то могли много чего нарыть и на наших», — рассуждает Карен Казарян.

Оформление доступа к гостайне должно было окончательно определить отношения хакера с ФСБ — и превратить Якубца во внештатного сотрудника, утверждает ветеран спецслужбы. Но, несмотря на связь Evil Corp с силовиками, неприкосновенной группировка не стала — в преследовании хакеров уже на территории России может быть заинтересовано одно из подразделений ФСБ, считают собеседники «Медузы». «Управлению „К“ [Служба экономической безопасности ФСБ] сейчас нужно нового генерала растить, вроде бы они уже заинтересовались», — рассказывает знакомый с ситуацией ветеран ФСБ. 

В службе экономической безопасности ФСБ весной 2019 года действительно появилось пространство для выращивания новых кадров. В апреле начальник одного из отделов управления «К» Кирилл Черкалин был задержан по подозрению во взятке. Управление «К» занимается контрразведывательным обеспечением кредитно-финансовой сферы; отдел Черкалина курировал российский банковский бизнес, а сам Черкалин участвовал в заседаниях межведомственной комиссии по противодействию легализации преступных доходов.

Дело Evil Corp идеально вписывается в профиль работы управления, говорит Карен Казарян. Ведь предъявленные россиянам обвинения касаются не только взломов, но и легализации украденных денег, а в объявленный США санкционный список попали не только разработчики эксплойтов, но и «обнальщики» средств, а также оформленные на хакеров строительные и торговые компании. Теперь именно они, предполагают собеседники «Медузы», могут стать мишенью для службы экономической безопасности ФСБ.

ФСБ и Эдуард Бендерский не ответили на запросы «Медузы». До Алены Бендерской дозвониться не удалось. Родственники Максима Якубца не ответили на сообщения, отправленные им в соцсетях.

Поведение экстравагантных миллионеров

В хакерской группе Evil Corp состоит не только зять силовика, но и сын чиновника. Девять лет назад человек с ником 77strel пытался стать автомобильным блогером: видео с гонками на Porsche молодой человек выкладывал вперемежку с роликами, где пытаются разбудить спящего на автобусной остановке бездомного. В 2019 году один из старых роликов процитировал в сюжете об Evil Corp телеканал CBS, показав лицо хакера; в соцсетях этот человек называет себя то «Витя Клочков», то «Серега Усманов», то «Андрей Плотницкий» (под этой фамилией кибермошенник попал в санкционный список). Все фотографии из «ВКонтакте» Плотницкий вскоре удалил, но с помощью сервиса для распознавания лиц удалось найти ту, где он стоит в одной авторемонтной мастерской с членом Evil Corp Кириллом Слободским и машиной, принадлежащей другому участнику группировки Дмитрию Смирнову. 

Андрей Плотницкий (Ковальский) и Кирилл Слободской

Найденная при помощи сервиса сервиса для распознавания лиц копия фотографии из аккаунта «Андрей Плотницкий»

Человек с шестью псевдонимами — Андрей Плотницкий, он же Strel, «Ожидан» или Андрей Ковальский — оказался сыном бывшего мэра Химок Владимира Стрельченко. От фамилии отца хакер оставил себе только никнейм для инстаграма — Strel; Стрельченко и сам называл Плотницкого своим сыном. Хакер не ответил на просьбу поговорить, переданную через работавшего с ним юриста; в ответ на сообщение в соцсетях он закрыл свою страницу «ВКонтакте». 

Плотницкий был самым публичным членом Evil Corp: например, когда одного из участников хакерской группы задержали за гонки на спорткарах, Плотницкий пожаловался в своем инстаграме, что полиция занимается не тем: «Судьи, менты, чиновники, беспредел вокруг — а они [докопались] до заездов!» Гонка, в которой тогда участвовали хакеры, прошла на скорости 280 км/час — Lamborghini группировки «стирали резину о гладко асфальтированные магистрали олимпийского Сочи», как писали в соцсетях. Со своими желтой Lamborghini и ультрамариновой Audi R8 участники Evil Corp много фотографировались именно в Сочи, который стал любимым курортным направлением Evil Corp; за границу, по данным лично знакомого с ними силовика, они не выезжали уже много лет, опасаясь преследования

Как писало в недавнем пресс-релизе британское Национальное агентство по борьбе с преступностью, свои операции Evil Corp проводила «из подвалов московских кафе». Одно из них «Медузе» удалось найти по фотографии, обнародованной британскими силовиками.

Кафе «Кьянти» на улице Татарской в Москве, перед которым когда-то парковалась Lamborghini Максима Якубца, с тех пор закрылось; на двери висит объявление «Убедительная просьба не дергать за ручку двери!» — но сама ручка вырвана с корнем. Впрочем, корреспонденту «Медузы» даже не пришлось стучать, чтобы поговорить с нынешними владельцами помещения — поднявшаяся из подвала женщина объяснила, что кафе давно продано. «Видите, никаких людей на Lamborghini. Здесь благотворительный фонд теперь», — уточнила она, но не сумела вспомнить ни названия фонда, ни имени его основателя. В «СПАРК-Интерфакс» «Медуза» не обнаружила благотворительных фондов, зарегистрированных по этому адресу. 

Кафе «Кьянти» на улице Татарской, 1/7. Москва, середина 2010-х

National Crime Agency

Улица Татарская, 1/7. Москва, 2019

«Медуза»

Скорее всего, выбор кафе на улице Татарской объясняется тем, что Максим Якубец c Аленой Бендерской живут на соседней улице Бахрушина, рассказал «Медузе» их сосед. «И эти их машины стояли там на протяжении нескольких лет — все их знают», — вспоминает собеседник. 

Британские силовики считают стиль жизни Evil Corp «поведением экстравагантных миллионеров»: принадлежащая группировке Audi однажды на несколько минут остановила шестиполосную трассу, устроив дрифт прямо посреди проезжей части в центре Москвы; член Evil Corp Денис Гусев и один из «обнальщиков» размещали в соцсетях фотографии, где они держат на руках живого львенка. В соцсетях кибермошенники называли себя «Всевышний» и «Олигархович»; даже пароль, который придумал к своей электронной почте Максим Якубец, — «стать миллионером». Самоиронию хакеры проявили только при выборе регистрационных знаков на свои роскошные машины: в номерах четырех из них читается слово «вор». Денис Гусев не ответил на вопросы «Медузы», направленные ему через соцсети.

Чем еще владеют хакеры из Evil Corp?

По данным «СПАРК-Интерфакс», полный тезка одного из членов группировки — Дмитрия Слободского — был связан с ювелирными фирмами «Гелиант» и «Премьер ювелир». Его брат Кирилл Слободской в 2018 году основал софтверную фирму «Анерис». Игорь Турашев, которого США считают одной из ключевых фигур в группировке Evil Corp, в 2018-м также открыл айти-компанию: его «Анитех» занимается разработкой компьютерного программного обеспечения. 

Страница блога Дениса Гусева на сайте «Смотра» открывается фразой: «Люблю оружие, деньги и дорогие машины». В нулевые Гусев выкладывал в интернет свои впечатления от посещенных по всей России ночных клубов и делился планами открыть собственный.

Люксовые спорткары — слабое место не первого поколения российских хакеров, рассказывает ветеран ФСБ, боровшийся с самыми первыми российскими кибермошенниками. «Молодых талантливых ребят надо было просекать — за этим следила контора. Ловили так же, как издревле ловят человека, который, формально не имея ни рубля в кармане, внезапно выезжает на Ferrari. Это же молодежь была: они сразу покупали себе самое крутое, что только можно, и отследить таких в студенческой среде не представляло ровным счетом никакого труда, потому что стукачей у нас всегда, слава богу, было достаточно. Лично у меня проблем не было. Году в 2002-м надо было с одним таким пацаном отработать, студентом МФТИ: у него была Lamborghini — кажется, серо-стальная».

Как выяснила «Медуза», почти все связываемые с группировкой автомобили в разное время были записаны только на одного ее участника — Дмитрия Смирнова. «На Смирнова записано машин миллионов на 100 [рублей]», — говорит собеседник «Медузы». Всего в автопарке Evil Corp, по данным источников «Медузы», три Lamborghini Huracan, Cadillac Escalade, Chevrolet Camaro, три Mercedes Benz разных моделей, Volkswagen Amarok, одна покрытая узором из черепов и кастетов Nissan GT-R — и одни классические «Жигули». Это не все машины хакеров: ультрамариновая Audi принадлежит Андрею Плотницкому, а еще один серый Lamborghini, который парковался вместе со спорткарами Evil Corp в Сочи, когда-то находилась в распоряжении «Павла Водителя» — так связанный с автомобилем телефон идентифицирует приложение GetContact. «Медузе» удалось дозвониться до Павла и расспросить его о хозяине машины. «Человек занимается зерном: здесь покупает и в Иран продает, контракты на миллионы долларов. Никакой не киберпреступник, — говорит водитель. — А Lamborghini — это мечта детства у него».

Андрей Плотницкий (Ковальский) на фоне двух принадлежащих Evil Corp спорткаров

Фотография из аккаунта «Серёга Усманов»

Слева направо: Кирилл Слободской, Дмитрий Смирнов и Денис Гусев

Найденная при помощи сервиса для распознавания ли копия фотографии из аккаунта «Кирилл Всевышний»

Собеседник «Медузы», знакомый с методами работы киберпреступников, предполагает, что люксовые машины могли использоваться хакерами как валюта: «Большая часть машин раздавалась людям по доверенностям — мотоцикл Harley Davidson, например, в Питере выдавался человеку, который, судя по всему, просто работал у них водителем. Иногда таким же образом технику выдают просто в качестве вознаграждения — сталкивался с таким при изучении мошеннических криптопроектов».

ФСБ и DOBRO

Команда Максима Якубца — не единственная хакерская группа, связанная с ФСБ. Сотрудничество со спецслужбами дает киберпреступникам множество преимуществ, утверждают собеседники «Медузы»: по сравнению с Evil Corp, например, более чем скромными выглядят личные состояния хакеров из группировки Lurk, которую тоже обвиняют в атаках на банки. Как рассказывал «Медузе» бывший адвокат одного из фигурантов Сергей Поляков, «складывалось впечатление, что они не так уж и наворовали»: «У „обнальщиков“ изъяли старый мерс и 20 миллионов рублей, еще три миллиона изъяли [на обысках] в Туле. Мой клиент — хакер, который якобы украл миллиард, сейчас отдает последнее за услуги адвоката; справляются только потому, что жена работает и мать — учительница французского».

Находящийся в СИЗО участник Lurk Александр Сафонов, с которым корреспондент «Медузы» общался по переписке, признавал, что Lurk действительно во многом была неэффективным «сборищем дилетантов». Но незадолго до задержаний хакерам из Lurk довелось осуществить пару взломов вместе с гораздо более продвинутой группой специалистов. 

Сейчас даже никнеймы этих людей не фигурируют в материалах дела группы Lurk, утверждает Сафонов. «Они взламывали банки десятками. Свои разработчики, свой набор инструментов — „ручные хакеры“ наших спецслужб! Были завербованы ФСБ под угрозой тюрьмы, а мелкота наемная — тоже под контролем ФСБ, но меньшим. Кто-то из ключевых — вообще в погонах. Выполняли взломы по приказу кураторов и делились процентом от хищений со спецслужбами. И им было разрешено воровать везде, кроме российских правительственных кормушек — Сбера, ВТБ и пр. А по миру — везде».

«Я подозреваю, что с человеком, который все это организовывал, мы читали одни и те же учебники и ходили в одну и ту же библиотеку», — комментирует рассказ Сафонова собеседник «Медузы» среди ветеранов ФСБ.

Эту историю Александр Сафонов рассказал из СИЗО — на нескольких страницах, написанных от руки. Название абсолютно подконтрольной силовикам хакерской группы он каждый раз выводил одними заглавными — DOBRO. Связаны ли эти люди с Evil Corp — и к какому «добру» отсылает название группировки, «Медузе» выяснить не удалось.

Автор: Лилия Яппарова

Редактор: Алексей Ковалев

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.