В июле 2014 года, через несколько дней после того, как на Мальдивах задержали 30-летнего россиянина Романа Селезнева и на частном самолете переправили его в США, «Новая газета» опубликовала прогноз хорошо информированного эксперта в сфере киберпреступности о ключевых направлениях, по которым будут наноситься удары спецслужб. Наш собеседник еще тогда обратил внимание на то, что уже лет десять, как в США все аресты по уголовным делам, связанным с киберпреступностью, преподносятся и в СМИ, и в официальных прокурорских документах, и даже в судебных решениях как разоблачение одной гигантской киберпреступной группы, что-то наподобие кибер-орды. Все подозреваемые и уже осужденные за океаном позиционировались как члены единой преступной организации.

На диктофонной записи сохранилось предупреждение моего собеседника:

— Рано или поздно всех этих людей обвинят в том, что они входили в одну группу, управляемую из Москвы. Уже сегодня американские СМИ пишут о том, что за десять лет титанической борьбы с киберпреступностью многие члены глобальной кибербанды арестованы, но часть преступников якобы находится в России, чуть ли не под покровительством ФСБ.

Летом 2016 года этот прогноз подтвердился. Именно с июня 2016 года, когда газета Washington Post сообщила, что «российские хакеры, пользующиеся поддержкой государственных структур», проникли в серверы национального комитета демократической партии США, Россия стала позиционироваться как империя киберзла.

10 июня 2017 года экс-директор ФБР Джеймс Коми на слушаниях в Сенате заявил, что он впервые узнал о российских кибератаках в конце лета 2015 года, и за это время «произошли сотни, возможно, тысячи попыток компьютерных вторжений, целями которых были неправительственные и околоправительственные организации». Коми предположил, что эти атаки были «частью большого стратегического плана», что российские хакеры пытались повлиять на результаты выборов президента США. Правда, никакой конкретики экс-директор ФБР приводить не стал.

Между тем, анализ преступлений, связанных с интернетом, по которым произведены аресты или даже уже вынесены приговоры (прежде всего «дело Селезнева»), дает основание предположить, что киберпреступность куда более многогранна, нежели в описании экс-директора ФБР, и что Джеймс Коми, возможно, лукавил. Например, тогда, когда заявил, что впервые услышал о «российских кибератаках» в конце лета 2015-го. Он, похоже, «забыл» о самом грандиозном киберпреступлении, совершенном в США, когда в конце декабря 2013 года компания Target Corp., управляющая одной из крупнейших сетей магазинов розничной торговли страны, сообщила о хищении за 19 дней (начиная с 27 ноября) данных 70 млн кредитных карт.

Чуть позже Брайан Кребс, американский журналист, специализирующийся на киберпреступности, в блоге Krebs on Security сообщил, что злоумышленники похитили информацию при помощи программного обеспечения, позволившего проникнуть в платежные терминалы, считывающие информацию с магнитных лент пластиковых карт. При этом данные кредиток были скачаны практически со всех терминалов во всех 1797 магазинах Target в США. Вскоре в американские СМИ просочилась информация: ФБР установила, что крупнейшее похищение данных кредитных карт было осуществлено при помощи вируса, у которого «русские корни».

У опрошенных мною экспертов появились предположения, что хищение данных 70 миллионов кредиток стало катализатором активизации действий американских спецслужб в отношении Романа Селезнева. Дело в том, что именно на созданных Селезневым сайтах, предназначенных для автоматизированной торговли похищенными данными кредиток, и была выложена на продажу информация из терминалов компании Target Corp. И именно после «начала торгов» американцы пошли на беспрецедентную спецоперацию, фактически похитив Селезнева с Мальдив.

Кстати, еще в мае 2009 года ФБР поделилась с ФСБ информацией о том, что Селезнев — один из лидеров киберпреступности, и уже с того времени, а, возможно, и раньше, Селезнев постоянно находился в поле зрения USSS (United States Secret Service).

Когда два месяца назад был оглашен приговор в отношении Селезнева и я начал собирать информацию для публикации, неожиданно столкнулся с тем, что все мои собеседники — специалисты IT-сферы, компьютерной безопасности, отставные и действующие офицеры ФСБ — согласились разговаривать исключительно на условиях анонимности. Да что говорить, если даже отец Романа, депутат Государственной думы Валерий Селезнев, отказался от встречи, узнав, что меня интересуют подробности последних лет жизни Романа на свободе. А один из моих собеседников заявил, что тема эта чревата серьезными последствиями.

Тони Сопрано кибермафии

21 апреля суд Сиэтла (США) приговорил Селезнева к 27 годам лишения свободы, признав доказанной вину россиянина в совершении киберпреступлений. Очень большой срок, ведь Селезнев признал вину, раскаялся и пошел на сотрудничество со следствием. Правда, раскаяние произошло уже после окончания судебного следствия, когда присяжные (в августе прошлого года) единогласно вынесли вердикт о виновности Селезнева по 38 преступным эпизодам, среди которых — кибермошенничество, умышленное причинение ущерба защищенным компьютерам, получение информации с этих компьютеров, хищение персональных данных при отягчающих обстоятельствах.

В меморандуме для суда, подготовленном прокурорами Сетом Уилкинсоном и Норманом Барбосой, названа точная дата и изложены некоторые детали встречи сотрудников ФБР и USSS с офицерами ФСБ. Указано: встреча состоялась 19 мая 2009 года в Москве. Прокуроры утверждают, что офицеры американских спецслужб представили неопровержимые доказательства того, что хакер, орудующий под ником nCuX, подозреваемый в совершении десятков киберпреступлений, — это Роман Селезнев.

Но, согласно информации, изложенной в меморандуме, встреча офицеров спецслужб США и России обернулась тем, что ФСБ предупредило Селезнева о разоблачении. ФБР зафиксировала — 21 июня 2009 года Селезнев проинформировал своих сообщников, что покидает «бизнес», после чего хакер под ником nCuX исчез из интернета. Но уже через несколько месяцев Селезнев снова вернулся в киберпространство, запустив сайты Bulba и Track2, появляясь на подпольных форумах кардеров — киберпреступников, специализирующихся на хищении данных кредитных карт, под никами 2pac, bandysli64, smaus, Zagreb, shmak и т.д.

В ходе судебного процесса прокурор Норман Барбоса заявил: «Его сообщники обращались к нему, как к Тони Сопрано». Прокурор продемонстрировал присяжным две репродукции. На одной был изображен Селезнев в роскошном одеянии с орденами и лентами. На второй — вымышленный гангстер Сопрано, изображенный в парадном мундире XVIII века. По мнению Нормана Барбосы, эти картины в сочетании с другими доказательствами, добытыми следствием, подтверждают, что Селезнев — не рядовой киберпреступник, а один из лидеров преступного сообщества, перепродавшего данные более двух миллионов кредитных карт и нанесшего ущерб американцам, оцениваемый в миллиарды долларов. В обвинительном заключении указаны 3700 финансовых организаций и 500 компаний по всему миру, преимущественно в США, пострадавших от деятельности ОПГ.

Смена лидера киберпреступности

Формально Селезнева задержали на Мальдивах в рамках операции по ликвидации банды кардеров, взломавшей и похитившей данные 160 млн кредитных карт (это больше половины кредиток, выпущенных в США). Идеологом и лидером интернациональной кибербанды до начала судебного процесса над Селезневым считался Альберто Гонзалес, гражданин США кубинского происхождения, который в ходе судебного процесса публично признался, что был информатором спецслужб США. Справедливости ради, признание не помогло Гонзалесу: 11 сентября 2009 года его приговорили к 20 годам лишения свободы.

Упоминание об Альберто Гонзалесе есть и в прокурорском меморандуме в отношении Романа Селезнева. Но в этом документе Гонзалес представлен хоть и не рядовым «бойцом» кибербанды, но уже и не лидером. Да, Гонзалес и его команда украли и продали данные десятков миллионов кредитных карт, но, как подчеркнуто в меморандуме, «Селезнев, хотя и не так плодовит, но имел куда более значительное и длительное влияние на кардинг-сообщество, нежели Гонзалес».

Однако в прокурорском меморандуме есть и серьезные нестыковки. К примеру, прокуроры представили суду сведения о том, что в сентябре 2009 года Селезнев создал сайты Track2 и Bulba, предназначенные для автоматизированной торговли похищенными данными кредиток. Эти сайты стремительно приобрели популярность, ежедневно ими стали пользоваться до 25 тысяч кардеров со всего мира. К примеру, в один из апрельских дней 2011 года на Track2 было размещено для продажи около миллиона «дампов» (то есть данных похищенных карт), и произошло это через несколько недель после того, как в марте 2011 года в Западном округе Вашингтона против Романа Селезнева были заочно выдвинуты обвинения в хакерском проникновении в системы кассовых терминалов магазинов, ресторанов и баров по всей территории США в период с октября 2009-го по февраль 2011 года.

Но вот что интересно: в американской прессе человеком, разоблачившим Селезнева, называют спецагента Роберта Кирстеда (Robert Kierstead). Кирстед был переведен в отдел по борьбе с киберпреступностью Секретной службы США в Сиэтле (US Secret Service Electronic Crimes Task Force) в мае 2007-го (до перевода Кирстед работал в подразделениях, занимавшихся обеспечением безопасности президента США). Селезнев уже был доставлен на территорию США, когда в американские СМИ просочилась информация о том, что еще в марте 2011 года Кирстед представил руководству доклад, в котором привел неопровержимые доказательства того, что за кражами данных кредиток стоит именно Роман Валерьевич Селезнев. И на основании информации, добытой Кирстедом, тогда же, в марте 2011 года, в Западном округе Вашингтона против Романа Селезнева были заочно выдвинуты обвинения в хакерском проникновении в системы кассовых терминалов.

Сопоставим эти сведения с утверждением прокуроров Сета Уилкинсона и Нормана Барбосы, изложенном в меморандуме о том, что уже к маю 2009 года ФБР располагал достаточными основаниями считать Селезнева одним из воротил киберпреступности. И основания эти были настолько серьезными, что сотрудники ФБР и Secret Service экстренно прилетели в Москву.

И что получается? Уже в мае 2009 года ФБР знало, что Селезнев — лидер киберпреступного мира, но при этом предпринимать какие-то серьезные меры для задержания Селезнева ФБР начало лишь весной 2011 года. В апреле 2011 года, к примеру, в суд поступило ходатайство о направлении розыскных документов по Селезневу в Южную Корею, в январе 2012 в суд поступили ходатайства о направлении аналогичных документов в Индонезию и Таиланд. То есть ФБР было известно, что Селезнев регулярно совершает авиаперелеты в определенные страны под своим именем, и у спецслужб США была возможность достать хакера намного раньше и куда более законным способом, нежели де-факто похитив его в аэропорту Мале?

Теракт в Марракеше

Вообще-то ФБР начало забрасывать суды ходатайствами об ордерах на арест в разных концах планеты уже после того, как имя Романа Селезнева попало на страницы мировых СМИ — в качестве жертвы теракта в марокканском городе Марракеш.

28 апреля 2011 года Селезнев и его супруга отдыхали в популярном кафе «Аргана» в самом центре Марракеша в тот самый момент, когда там прогремел взрыв. Погибли 16 человек, но Роман выжил, получив очень серьезные травмы. Находящегося в коме Селезнева спецсамолетом доставили в Россию.

Первоначально была выдвинута версия, что взрыв произошел в результате утечки газа. Но позже появилась информация: в кафе были заложены две бомбы, приведенные в действие при помощи мобильного телефона. Марокканским властям пришлось признать, что это был теракт. Вскоре был назван и заказчик — «Аль-Каида». Что удивительно, «Аль-Каида», охотно берущая на себя ответственность за теракты по всему миру, от этого взрыва открестилась.

Следствие оперативно установило исполнителей, и ровно через полгода, 28 октября 2011-го, марокканский суд приговорил к смертной казни Адиля аль-Атмани, который, по версии следствия, заложил бомбы в кафе и привел их в действие. Сообщник аль-Атмани — некто Хаким Да — получил пожизненное заключение, еще семерых приговорили к незначительным срокам.

Пока в Марокко выносились приговоры, в России медики боролось за жизнь Романа Селезнева, который перенес несколько сложнейших операций. Лечение и восстановление Романа продолжались долго. Только через год он смог снова начать говорить и самостоятельно передвигаться. Но все это время, пока он был прикован к постели, ФБР забрасывало суды США ходатайствами об аресте Романа.

Ну а когда Селезнева все-таки доставили в США, его долгое время содержали в одиночной камере. А когда его переводили в общую, в соседях у него оказывались убийцы и насильники, которые постоянно провоцировали драки, и Романа возвращали в «одиночку».

Сегодня, когда уже известно, что в марте 2011 года суд Западного округа Вашингтона выдал ордер на арест Селезнева, а буквально через несколько недель, в апреле, на контролируемой им площадке было выставлено на продажу более миллиона «дампов», взрывы в марракешском кафе, прогремевшие 28 апреля 2011 года, выглядят как целенаправленное покушение, а не теракт. Как предположил один из моих собеседников, возможно, что целью был именно Роман Селезнев, которого ФБР «вело» с 2009 года и который, возможно, каким-то образом получил доступ к чересчур взрывоопасной информации.

Сегодня ни для кого не секрет, что спецслужбы стран, серьезно относящихся к киберпространству, активно вербуют талантливых хакеров для работы в «интересах государства», и гражданская принадлежность специалиста в этом случае не имеет значения.

К примеру, хорошо известна массированная кибератака на американские компьютерные сети, произошедшая в 1999 году после авианалета ВВС США на Белград, когда в результате «фатальной ошибки» было уничтожено здание посольство Китая. Такая же мощная кибератака на США была произведена китайскими хакерами в 2001 году после столкновения разведывательного самолета США с китайским истребителем. В 2003 году хакеры из Китая провели операцию Titan Rain, атаковав компьютерные ресурсы Министерства обороны США.

В компьютерном мире хорошо известна китайская хакерская группа NCPH, создавшая десятки программ, использующих пробелы в Microsoft Office, для внедрения в систему вирусных подпрограмм, которые позволяют дистанционно управлять зараженными компьютерами, копировать нужные документы и передавать их по нужному адресу.

И NCPH — не единственная хакерская группа, действующая в интересах Китая. Подобных групп в Поднебесной — десятки.

Хорошо известны в компьютерном мире и хакерские группы, ведущие локальные кибервойны. Хакеры из Греции традиционно обмениваются ударами с хакерами из Турции. Пакистанские хакеры наносят удары на компьютерные системы Индии, а индийские, наоборот, по пакистанским…

Нередко сотрудничество оборачивается тем, что хакеры и курирующие их сотрудники спеслужб «теряют берега» и начинают совместно действовать уже в своих личных интересах. Яркий пример такого, уже криминального «сотрудничества», — дело «Шалтай Болтая», когда киберпреступники, специализирующиеся на взломе электронных почтовых ящиков, оказавшись под патронажем офицеров Центра информационной безопасности ФСБ, начали выставлять на продажу содержимое переписок российского политико-экономического бомонда.

«Крышевание» киберпреступников офицерами спецлужб — это не уникальное явление, присущее только России. Подобные истории периодически вскрываются в том числе и в США. К примеру, несколько лет назад получил всемирную известность агент Secret Service Шон Бриджес, занимавшиеся расследованием деятельности подпольного биткоин-рынка Silk Road. Выйдя на след кибербанды, Бриджес взял преступников под свой патронаж и в результате лишь двух кибератак получил свою долю биткоинов на сумму около 800 тыс. долларов, которые ловко обналичил….

Совершенно очевидно, что Селезнев не был киберпреступником, действовавшим в одиночку. У него были сообщники по всему миру. И контактируя с «партнерами», например, в США, он мог случайно узнать о том, кто их «крышует». И речь идет, по всей видимости, не о «пехоте» киберпреступного мира, а о персонажах, способных проворачивать крупнейшие «операции». И именно поэтому ФБР серьезно встревожилось. И даже пошло на контакт с ФСБ.

Взрывоопасная информация

Один из моих собеседников выдвинул такую версию:

— Давно обратил внимание: сколько ни арестовывают кардеров, спамеров, взломщиков почтовых ящиков и прочих кибернегодяев, ни разу не видел информации об аресте разработчиков софта, программного обеспечения, тех, кто осуществляет техническое обслуживание средств взлома или похищения. Разработчиков никто не знает, они не появляются на форумах кардеров или спамеров. Но 90% всех взломов основано на уязвимости программ. Киберпреступники находят «дырки» в софте, и через них тащат все, что плохо лежит. При этом если внимательно прочитать, например, публикации Брайана Кребса, считающегося ведущим экспертом, выстраивается примечательная картина. Львиная доля жертв кардеров — это граждане США. В России и Европе данные кредитных карточек воруют на порядок меньше. А в США ущерб от этих преступлений исчисляется миллиардами долларов. Но что интересно, ни одно из раскрытых преступлений кардеров не было до конца расследовано. В тюрьмы попадали лишь исполнители, а вот те, кто сливал информацию о «дырах» или вовсе предоставлял софт, всегда оставался в тени.

— Роман Селезнев — очень умный парень, — продолжил мой собеседник. — Он мог как-то напрямую работать с кем-то из разработчиков софта. И «догадаться» о покровителях или, как говорят у нас, «крыше» своего партнера.

Это версия вполне рабочая, и с учетом того, что, судя по материалам суда над Селезневым, он сканировал по определенному алгоритму сервера платежных терминалов магазинов, кафешек, пиццерий, а когда находил открытые, вставлял туда троян и скачивал данные.

— Вообще-то это полнейший бред, — убежден мой собеседник. — Тем более что Селезнев якобы умудрялся опустошать одни и те же платежные терминалы по несколько раз за полтора года. Это просто нереально, потому что специалисты MasterCard или Visa автоматически увидели бы, что по одним и тем же терминалам идет хищение данных. Ну это все равно что охрана знает про дыру, через которую воры проникают на склад, но дыру не заколачивают, а, возможно, даже на шухере стоят. И можно предположить, что Селезневу стало что-то известно.

В эту версию вписывается и ограбление Селезнева, произошедшее вскоре после визита в Москву сотрудников американских спецслужб и их общения с коллегами из ФСБ. Незадолго до оглашения приговора Селезнев написал несколько писем, адресованных суду. В одном из них был рассказ о том, что в дом Селезнева ворвались грабители, пытали его, а уходя, забрали не только деньги и ценности, но и всю компьютерную технику, в которой были все пароли, коды доступа к софтам и программам. Кто мог ограбить Селезнева? Конечно, это могли бы быть и банальные бандиты. Но с учетом того, что преступников куда больше интересовали компьютеры и ноутбуки, нельзя исключить, что под камуфляжем грабителей к Селезневу наведались сотрудники какой-то из спецслужб.