Мы оставим вопрос правомерности выдачи Чаловского в США за скобками — об этом много сказано в материале Лауриса Лиепы на DELFI. Сосредоточимся исключительно на том, что, как утверждают американские и латвийские обвинители, совершил Чаловский. Для простоты восприятия мы будем писать так, как будто он и его сообщники действительно все это сделали — все эти "подозреваемый", "утверждается, что…" и "как утверждает следствие" лишь затрудняют чтение, которое и без того не будет быстрым.
Но помните — вина Дениса Чаловского пока не доказана и он не более чем подозреваемый! Правда, стоит учесть, что у американских следователей есть на руках чистосердечное признание Никиты Кузьмина, главного организатора преступного синдиката. В котором он рассказал следователям и о роли "имантского хакера" во всей этой истории. До окончания суда доказательством это не является, но чтивом является весьма занятным.
1. Организация работы хакеров
Многим из тех, кто говорят и пишут про эту историю, кажется странным: как три молодых парня, которые никогда не встречались в реальной жизни, сумели организовать преступную группу, которой удалось в общей сложности "отмыть" (об этом позже) свыше 50 млн долларов, при этом оставаясь ненайденными в течении многих лет.
Сохранение анонимности — скорее норма, чем исключение, в хакерском мире. Чем меньше ты знаешь, тем о меньшем ты сможешь рассказать, когда (и если) тебя заберут. Поэтому хакеры, как правило, общаются через Сеть на специальных частных серверах, к которым присоединяются через сложные системы, обеспечивающие если не анонимность, то, по крайней мере, сильно удлиняющие цепочку, по которой их можно отследить. Поскольку почти вся продукция злоумышленников исключительно виртуальная, то им не составляет никакого труда "работать удаленно". Проще говоря, это все равно, что остановить написание этой статьи вот на этом месте и отправить ее другому автору в файле — для него не составит проблемы продолжить написание со следующего абзаца. Сегодня нет нужды встречаться для того, чтобы передать файл.
В случае же нашей троицы, Кузьмина, Чаловского и Михая Паунеску, все было еще проще — у них у всех были очень конкретные и специфичные ниши, в которых они работали. Если продолжить аналогию с этой статьей, что Кузьмин написал текст, Чаловский нашел иллюстрации, а Паунеску обеспечил размещение статьи на сервере — им вовсе не обязательно было бы встречаться для этого. Возникающие вопросы они легко и быстро обсуждали через интернет.
2. Gozi — в чем суть
Помимо Gozi наши "герои" ответственны и за некоторых других зловредов, однако по масштабам те несопоставимы с их главным шедевром — вирусом Gozi, который ставил в тупик экспертов по безопасности в течение четырех лет.
Ядро Gozi было написано и многократно переписывалось Никитой Кузьминым еще в 2005 году, однако активно использовать он его начал лишь с 2007 года. Этот вирус использовал стандартные каналы для распространения — спам в электронной почте, заражение через веб-сайты и т.д., поселялся на машине пользователя и ждал своего "звездного часа" — захода на страничку интернет-банка или в закрытую систему какой-либо финансовой организации. В этот момент Gozi "просыпался" и тщательно записывал введенную с клавиатуры информацию, а затем пересылал на удаленный сервер хакеров введенную информацию — номера, логины, пароли. Конечно, далеко не всегда эта информация была полезна — интернет-банки, например, активно используют дополнительные средства аутентификации вроде карточек паролей. Но не все банки настолько продвинуты, так что определенную прибыль Кузьмин все же имел.
Однако по-настоящему Gozi стал проблемой после того, как к развитию вируса подключился Денис Чаловский. Латвийский программист ответственен за разработку самой "вкусной" части Gozi, того, что сделало вирус по-настоящему убойным. А именно — он научился показывать пользователю "расширенные" версии сайтов интернет-банков. То есть, пользователь заходил на сайт, например, интернет-банка, но вместо обычных полей для ввода номера и пароля, а затем и кода с карточки, видел еще какое-то количество полей. Например, его просили ввести дополнительные коды с карточки, или секретную фразу, девичью фамилию матери — в общем, всю ту информацию, что пользователю надо бы держать в сухом и теплом месте, а не разбрасываться ею направо и налево.
Специалисты должны оценить уровень хакеров, которым удалось "вклиниться" в защищенное (SSL) соединение между пользователем и банком! Ведь информация о дополнительных полях должна была отправляться не на сервер банка, а на сервер хакеров. То, во что Gozi превратился с подачи Дениса Чаловского, иначе как произведением компьютерного искусства и не назовешь.
Михай Паунеску стал третьим органичным звеном в этом клубе "веселых и находчивых" — он обеспечил Gozi т.н. "пуленепробиваемый" хостинг. Паунеску был владельцем "серверной фермы" в Румынии из 130 машин, на которой он обеспечивал работу т.н. командных серверов для разных зловредов, в том числе и Gozi. Кстати, неправы те, кто утверждает, что хакеры, стоящие за Gozi, никогда не общались в "реальной жизни" — Паунеску ФБР удалось вычислить по… номеру телефона, который он неосторожно дал своим подельникам.
3. Превращение Gozi в бизнес
Приятно иногда лично поработать руками, однако еще более приятно наладить бизнес, а самому уделять работе несколько часов в день. Проблема со взломом банковских счетов в том, что она все же требует некоторого ручного труда. Поэтому Кузьмин решил "переквалифицироваться в управдомы" и создал хорошо известный в хакерском мире сервис "76Service".
В организаторских талантах Кузьмину не откажешь — 76Service представлял собой "предприятие полного цикла". Если вы, например, хотели получить доступ к счетам клиентов банка X, вы приходили (на самом деле — связывались с ним на подпольных форумах) к Кузьмину и озвучивали свою просьбу. Ключевую роль в дальнейшем играл, опять же, Денис Чаловский. Ему надо было изучить электронную систему банка-жертвы и создать "расширенную" версию сайта именно с теми дополнительными полями, которые бы не вызвали подозрение у клиентов этого банка. Если банк использует карточку с кодами — надо было добавить поля для них. Если допускает авторизацию по телефону с помощью ответа на секретный вопрос — надо было добавить это. В общем, Чаловский занимался тем, что по заказу Кузьмина модифицировал свой чудо-скрипт и, соответственно, вирус, делая его по-настоящему "hand made".
Помимо "базовой" услуги 76Service предлагал множество дополнительных (за каждую, разумеется, взималась плата), в том числе и по обналичиванию украденного. Ведь мало получить доступ к счетам пользователей и добраться до самих денег, нужно еще суметь их украсть. Хакеры используют для этого самые разные схемы. Наиболее распространенная из них — это найм "мулов", то есть подставных лиц, на счета которых переводят деньги, а те их моментально обналичивают и передают, оставляя себе небольшой процент, специально обученным людям-посредникам. Таким образом, след виртуальных денег обрывается в "физическом" мире. Даже если полиция выходит на "мулов", дальше судьбу денег проследить практически невозможно (иногда это, впрочем, удается, и тогда кто-то, как эстонский хакер Антон Иванов, экстрадированный из Эстонии в США, получает реальный срок). 76Service предлагал услугу и по обналичиванию, то есть, довольно быстро стал весьма заметной в хакерском мире структурой. Мы не удивимся, если по этому делу последуют новые аресты и за решеткой окажется еще больше людей.
Коротко говоря, заказчики указывали банк-цель, а затем получали в свое распоряжение готовый вирус с опциями, "заточенными" под их нужды и даже готовую и работающую схему обналички украденного. Организаторы 76Service, формально не занимаясь "грязной работой", имели с этого нападения свой определенный процент. Солдат спит — служба идет.
4. Игра в кошки-мышки
Gozi попал в поле зрения специалистов по компьютерной безопасности еще в 2007 году и антивирусные компании довольно быстро начали игру в "кошки мышки" — каждый раз, когда им в руки попадала новая копия вируса, они тут же выпускали противоядие. Однако проблема с вирусом заключалась в том, что если поначалу он и был вирусом "массового поражения", то после превращения в крупный бизнес, он таковым быть перестал. Практически каждая новая версия Gozi, "заточенная" под нужды конкретного заказчика, отличалась от предыдущей, соответственно, антивирусы просто не "знали" о ее существовании.
Кузьмин, надо отдать ему должное, является весьма талантливым молодым человеком, хорошо разбирающемся в том, чем занимался. Так что в игре "кошки мышки" он всегда был на шаг впереди антивирусных компаний. Тем ничего не оставалось, как только реагировать на очередную версию, в которой — будьте уверены — использовались самые передовые хакерские технологии.
На вопрос "почему бездействовала полиция" ответить еще проще. Дело в том, что до 2010 года Gozi атаковал исключительно европейские банки. А Европа сегодня — объективно — неспособна эффективно расследовать масштабные киберпреступления. Мешают границы, отсутствие единой структуры серьезными полномочиями и хорошо подготовленными, опытными профессионалами. Разумеется, каких-то кибер-преступников ловят и в Европе, но Gozi/76Service оказалась правоохранительным структурам ЕС просто не по зубам. Справедливости ради — собранная ими информация потом здорово помогла ФБР.
Да, Кузьмин должен был проклясть тот день, когда он решился принять заказы на американские банки. Что его сгубило — жадность или глупость — неизвестно, однако в 2010 году Gozi/76Service начали работать на американских заказчиков. В США полно богатых людей и когда жертвами хакеров стали персоны, потери которых исчислялись миллионам и даже десятками миллионов долларов, проблемой очень быстро заинтересовалась ФБР. Тот факт, что вирус проник на машины NASA, лишь придал расследованию еще большее ускорение.
Для ФБР хакерский мир — отнюдь не тайна за семью замками. "Бюро" применяет для расследования все те же методы, что и в "реальной жизни", включая и провокации, и информаторов. Да и 76Service, напомним, стал очень большой структурой, о существовании которой знала масса народа. Следователям потребовалось лишь около года, чтобы выяснить, кто является главным "мозгом" Gozi, и когда Кузьмин зачем-то прилетел в США, его спокойно "приняли" прямо в аэропорту.
5. Послесловие
История Gozi буквально просится на большой экран — не будет преувеличением сказать, что за этим вирусом стояла тройка одних из самых выдающихся хакеров нашего времени. Виновен ли "имантский хакер" Денис Чаловский — решит суд. Но мы лично не видим ничего невероятного в том, что гений мог жить в простой квартире в спальном районе Риги — увлеченным и талантливым личностям часто надо не так много, как думают озабоченные хлебом насущным и ежедневной погоней за "длинным латом" простые жители и, по совместистельству, жертвы Gozi.
