5 марта Министерство юстиции США обнародовало информацию об уголовном деле в отношении Никиты Кислицина — руководителя департамента сетевой безопасности в компании по борьбе с киберпреступностью Group-IB и бывшего главного редактора журнала «Хакер». Власти США обвиняют его в заговоре с целью продажи данных, украденных его сообщником у соцсети Formspring в 2012 году. Максимальное наказание по предъявленным ему обвинениям составляет суммарно 15 лет тюрьмы. Представители Group-IB утверждают, что «в материалах дела, связанных с Кислициным, есть обвинения, но не содержится прямых доказательств». «Медуза» рассказывает, какие доказательства в отношении Кислицина все-таки обнародовали правоохранительные органы США и как бывший главный редактор журнала «Хакер» оказался тесно знаком с теми, о ком писал.
Уголовное дело в отношении Никиты Кислицина появилось в марте 2014 года, однако все эти годы разглашать информацию о нем было запрещено с целью «облегчить арест обвиняемого», свидетельствуют данные(pdf) Федерального суда Северного округа Калифорнии. В решении о раскрытии информации о деле подчеркивается, что Кислицин «по-прежнему в бегах», однако причин для сохранения информации в тайне больше нет.
Обнародовать информацию о деле против Кислицина, вероятно, пришлось в связи с тем, что оно напрямую связано с делом в отношении хакера Евгения Никулина, обвиняемого во взломе и краже личных данных пользователей LinkedIn, Dropbox и Formspring. Никулин в 2016 году был задержан в Чехии, а затем экстрадирован в США, где вот уже несколько лет дожидается суда. Первые слушания назначены на 9 марта, в их преддверии суд опубликовал документ (pdf) с кратким изложением всех обвинений, предъявляемых Никулину, и имеющихся доказательств, которые будут оглашены в ходе заседания. В этом документе есть информация о Кислицине и еще нескольких людях, которых правоохранительные органы США называют сообщниками Никулина.
Так, согласно материалам дела, в июне 2012 года Евгений Никулин украл данные около 30 миллионов аккаунтов в Formspring, в частности адреса электронной почты и пароли в зашифрованном виде. После этого Никита Кислицин продал украденные данные за 5,5 тысяч евро — сделка произошла в августе 2012-го, указано в документе. Правоохранительные органы США подчеркивают, что факт продажи подтверждается данными от платежной системы Western Union, через которую осуществлялся перевод денег, а также перепиской между Никитой Кислициным и покупателем. Все эти данные были получены легально — на их выемку был судебный ордер, говорится в деле.
В качестве доказательства к делу приобщена переписка между пользователем Dor Fyo с почтового ящика fyofyofyo@hotmail.com, который, как утверждает сторона обвинения, принадлежит Кислицину, и покупателем под ником ibo ibo с адресом ibob750@gmail.com. Для суда эта переписка была переведена с русского языка на английский, «Медуза» публикует отдельные выдержки с обратным переводом:
Dor Fyo: Раис, у меня есть хороший сайт, formspring.com. Это очень популярный и большой веб-сайт, у него 30 миллионов пользователей. Дай знать, если заинтересован.
ibo ibo: Скажи, какая цена? И я бы хотел e-mailʼы, имена и все остальное, это возможно?
Dor Fyo: Цена 10 тысяч евро, там 30 миллионов пользователей с e-mail, именами пользователей, сообщениями и остальным [далее в переписке он также упоминает, что в базе есть хеши паролей от аккаунтов — «Медуза»]
….
ibo ibo: Никита, я предлагаю 5 тысяч евро за всю базу. Все мои клиенты в отпуске, и сейчас у меня есть лишь одно предложение. Может он заплатит больше, но в таком случае надо ждать до сентября, когда он вернется из отпуска. Скажи, что думаешь, спасибо.
Dor Fyo: Раис, давай 5,5 тысяч евро. Это очень дешево для такой большой базы. Когда планируешь перевести деньги? На следующей неделе?
ibo ibo: Ок, на следующей неделе.
Судя по переписке, пользователь Dor Fyo, то есть, по мнению правоохранительных органов США, Никита Кислицин, предлагал покупателю базу данных еще одного сайта, однако обвинения за это ему не предъявлены — вероятно, потому что сделка не состоялась. В переписке это обсуждалось следующим образом:
ibo ibo: У тебя есть базы данных по сайтам для взрослых, порно?
Dor Fyo: Постараюсь достать такую базу, думаю, это возможно.
ibo ibo: Ок.
…
Dor Fyo: У меня есть этот сайт для свиданий (5,5 миллионов пользователей) realsexdates.com. Скажи, если заинтересован.
ibo ibo: Что касается realsexdates.com, я не заинтересован, мне нужны другие.
Dor Fyo: Ок, проверю сайты из твоего списка.
Исследователь андеграунда
Никита Кислицин с 2006 по апрель 2012 год был главным редактором журнала «Хакер», посвященного тематике информационной безопасности и исследованию кибератак. В январе 2013 года он начал работать в Group-IB — российской компании по кибербезопасности, основанной Ильей Сачковым — и сейчас занимает в ней должность руководителя департамента сетевой безопасности. В своем официальном заявлении Group-IB подтвердила, что Никита Кислицин, в отношении которого выдвинуты обвинения, действительно их действующий сотрудник, однако в компании подчеркнули, что на момент описываемых в обвинительном заключении событий, то есть в середине 2012 года, он в ней еще не работал. В это время Кислицин жил в США и был «независимым исследователем киберугроз» — он вел некую «исследовательскую работу, связанную с андеграундом», утверждают в Group-IB.
Никаких деталей этой работы в Group-IB не раскрыли, однако утверждают, что в 2013 году представители компании и Кислицин по личной инициативе встречались с сотрудниками Министерства юстиции США и информировали их об этом исследовании. «После данного общения с представителями американских властей в адрес компании Group-IB, равно как и в адрес Кислицина, не было официально направлено никаких дополнительных вопросов», — утверждают в Group-IB. Однако в материалах дела в отношении Никулина говорится, в 2014 году с Кислициным также беседовала специальный агент ФБР Эмили Одом. В Group-IB отказались от комментариев об этой встрече, в ФБР не ответили на запрос «Медузы» на момент публикации.
В Group-IB утверждают, что в деле против Кислицина есть обвинения, но не содержатся прямые доказательства его вины, и компания будет поддерживать своего сотрудника. В заявлении компании также отмечено, что ни Кислицин, ни Group-IB не получали официальных повесток, уведомлений или приглашений на предстоящее судебное заседание по делу против Евгения Никулина. В то же время в компании не сообщили, получал ли Кислицин подобные уведомления по своему уголовному делу и было ли ему известно, что власти США на протяжении последних 6 лет разыскивают его. Сейчас Group-IB «ведет консультации с международными юристами для правовой оценки ситуации и принятия решения о дальнейших действиях».
Друзья из списка ФБР
Согласно материалам дела, Кислицин был знаком не только с Евгением Никулиным, но и c еще одним хакером — Алексеем Беланом. Тот уже много лет находится в списке самых разыскиваемых киберпреступников, который ведет ФБР. Белану за последние годы предъявляли обвинения по трем разным делам, в частности обвиняли во взломе Yahoo, и трижды выписывали ордер на арест, однако он по-прежнему на свободе и, по данным ФБР, проживает в Краснодаре. Именно Белан, согласно материалам дела, посоветовал Никите Кислицину связаться с Никулиным по поводу украденной им базы данных Formspring. В дальнейшем Белан с Кислициным обсуждали, как с помощью брутфорса расшифровать пароли из этой базы, следует из судебных документов.
Кроме этого, согласно материалам дела, Кислицин как минимум однажды встречался с еще одним хакером — украинцем Александром Еременко, которого США в 2015 году обвинили во взломе лент финансовых новостей Business Wire и Marketwired, где публичные компании заранее размещают пресс-релизы. Еременко и его сообщники, по версии обвинения, использовали полученную инсайдерскую информацию для заработка на купле-продаже ценных бумаг.
В материалах дела на Никулина говорится, что у Еременко в ходе следственных действий был изъят жесткий диск с видео, на котором фигурируют Никулин, Кислицин и Олег Толстых, на имя которого переводили 5,5 тысяч евро за базу данных Formspring. Снимал видео сам Еременко, который в ходе встречи назвал ее «саммитом ублюдков» (в оригинале — «summit of bad motherfuckers»). Все присутствовавшие не обсуждали на этом видео что-либо криминальное, и говорили только о планах по открытию совместного «интернет-кафе». «Ценность видео в том, что на нем трое предполагаемых сообщников находятся в одной комнате примерно за пару месяцев до взлома Formspring», — говорится в материалах дела.
Еще один разыскиваемый ФБР хакер, который входил в окружение Кислицина, — это экс-сотрудник ФСБ Дмитрий Докучаев. В 2017 году его вместе с Алексеем Беланом и еще двумя фигурантами обвинили во взломе Yahoo. Однако несколькими месяцами ранее на него было заведено уголовное дело в России по обвинению в госизмене (статья 275 Уголовного кодекса РФ), и на данный момент он отбывает 6-летний срок в колонии строгого режима. До трудоустройства в ФСБ Докучаев был редактором рубрики «Взлом» в журнале «Хакер». Кислицин ранее рассказывал, что сотрудничество с Докучаевым «длилось примерно три года». «Мы общались и работали вместе. Докучаев обладал достаточными знаниями, чтобы заниматься тем, чем он занимался», — заявлял Кислицин РБК.
Еще больше о хакерах, разыскиваемых ФБР
- Хакеры и трейдеры из России, США и Украины получили 100 миллионов долларов, воруя пресс-релизы с инсайдерской информацией. Расследование The Verge
- Америка обвинила сотрудников ФСБ в сговоре с хакерами, взломах журналистов и заработке на средствах для потенции. В России их обвиняют в госизмене
- Псих, Смелый и другие главные киберпреступники планеты Даниил Туровский рассказывает, как спецслужбы США охотятся за российскими хакерами
Хеш пароля
Пароль в зашифрованном виде, то есть после его преобразования с помощью одного из криптографических алгоритмов
Брутфорс (от англ. brute force — грубая сила)
Метод решения задачи, например, подбора пароля, предполагающий систематический перебор всех возможных комбинаций символов