09:12 , 20 марта 2017

Что мы узнали про «Шалтай Болтай» благодаря расследованию ФБР

В России аресты членов группировки «Шалтай Болтай» и их кураторов из ФСБ начались прошлой осенью. Но нет шансов, что нам когда-нибудь расскажут, почему за ними на самом деле пришли. Зато по другую сторону Атлантики проведено масштабное расследование в связи со взломом серверов Yahoo!, и его материалы проливают некоторый свет на деятельность хакеров и офицеров ФСБ, имевших отношение к работе этой группировки. Благодаря усилиям американских кибер-сыщиков, кое-что становится понятнее в наших внутрироссийских новостях.
2702712
На сайте Департамента юстиции США выложен скан 38-страничного обвинительного заключения в отношении четырёх «российских хакеров», обвиняемых во взломе американских почтовых серверов. Все обвинения посвящены эпизодам 2014-2016 годов.

Двое из обвиняемых — офицеры ФСБ: арестованный в прошлом году по делу «Шалтая-Болтая» Дмитрий Докучаев и его начальник Игорь Сущин, с того же года разыскиваемый ФБР. Один из хакеров — коммерческий взломщик Алексей Белан, давно знакомый американскому правосудию: судами Невады и Калифорнии его арест санкционировался ещё в 2012 и 2013 годах в связи с крупными взломами тамошних сервисов. В 2013 он был даже задержан в Европе по американскому запросу, но вместо экстрадиции в США сумел сбежать в Россию. Согласно обвинительному заключению, Белан помогал своим кураторам из ФСБ, предоставляя им доступ к взломанным почтовым ящикам интересующих их россиян на почтовом сервере Yahoo!.

Четвёртый обвиняемый — задержанный на днях в Канаде 22-летний Карим Баратов, уроженец Казахстана, который раньше ни в каких расследованиях и публикациях СМИ не фигурировал. Bloomberg накопал довольно любопытный профайл о его образе жизни. Пишут, что на деньги, заработанные хакерскими подвигами, юноша сумел выплатить ипотеку за двухэтажный дом в Канаде и купить несколько дорогих машин. Соседями характеризуется исключительно с положительной стороны: хороший товарищ, спортсмен, очень вежливый и доброжелательный молодой человек.

Согласно материалам обвинения, к Баратову офицеры ФСБ обращались за помощью при взломе аккаунтов Gmail, от которых у Белана паролей не было. Канадский хакер осуществлял точечные фишинговые атаки на указанные заказчиком адреса, выманивал пароли жертв и передавал их Докучаеву, получая от него по 100 долларов за каждый взломанный таким способом ящик. В общей сложности Баратов по заказу своих московских клиентов взломал 80 ящиков Gmail. Знал ли он при этом, на кого работает, непонятно, но для целей обвинения и не важно. Минюст США требует от Канады арестовать активы Баратова: «Мерседес», «Астон Мартин» и счёт в системе PayPal. Также аресту подлежит PayPal-аккаунт Дмитрия Докучаева.

Из материалов дела непросто понять, почему американская пресса так настойчиво увязывает офицеров ФСБ со взломом Yahoo!. Есть очень сильное ощущение, что они эту историю выпячивают в заголовках, потому что их читателю взлом Yahoo! интересней слежки за какими-то там российскими госчиновниками, банкирами и оппозиционерами. Агентство Bloomberg в заголовке репортажа про Баратова поместило его at the Center of the Yahoo Hack, хотя в обвинительном заключении как раз ему-то никакие эпизоды, связанные с Yahoo, не инкриминируются. Если читать внимательно, то между нашумевшим «взломом Yahoo!», поставившим под сомнение даже сделку по продаже этого портала телекоммуникационному концерну Verizon, и действиями офицеров ФСБ причинно-следственная связь довольно косвенная. То есть ФСБ явно попаслась в ящиках абонентов Yahoo!, но нет уверенности, что базу изначально ломали за этим.

Начать с того, что взломов Yahoo! было не один, а два. Второй, в ходе которого оказались скомпрометированы 500 миллионов аккаунтов пользователей сервиса, случился, как нам рассказывают, в 2014 году. О нём сообщила сама администрация портала, и эта новость наделала много шума в сентябре 2016, за несколько месяцев до того, как тема «русских хакеров», работающих на государство, вообще начала раскручиваться в СМИ.

А был и другой взлом, более ранний и вдвое более серьёзный, предположительно — в 2013 году. О нём в августе 2016 года узнал и уведомил американские спецслужбы Андрей Комаров, специалист по разведке (Chief Intelligence Officer) из аризонской компании InfoArmor. Комаров отследил в  даркнете непубличное предложение группы восточноевропейских хакеров, выставивших на продажу базу из 1 миллиарда адресов пользователей Yahoo!. За товар просили 300.000 долларов. Комарову удалось отследить три сделки с этой адресной базой. В двух случаях покупателями выступали известные спаммерские конторы. В третьем случае, судя по уточняющим вопросам к продавцу, базу купил представитель неустановленной разведслужбы, которого интересовала не возможность рассылать с её помощью спам, а содержание отдельных почтовых ящиков.

Каким-то способом Комарову удалось перехватить базу, выставленную на продажу, и он передал её американским силовикам, которые к ужасу своему обнаружили там адреса и пароли 150.000 госслужащих, включая сотрудников ФБР, ЦРУ, NSA и Белого дома. С этой информацией спецслужбы пришли в Yahoo! — и тут выяснилось, что корпорация сама не подозревала об этой масштабнейшей утечке персональных данных во всей мировой истории.

Узнав о взломе ещё в начале осени, представители Yahoo! не торопились объявлять о нём публично. Тогда Комаров сообщил о своих находках агентству Bloomberg и передал журналистам образцы данных из базы. В агентстве их проверили и обратились в Yahoo!. После этого корпорация публично признала и первый взлом, результатом которого стала утечка паролей от миллиарда ящиков, но от комментариев для Bloomberg отказалась, сославшись на то, что уже обсудила эту атаку с силовиками.

Так вот, судя по данным обвинительного заключения против Сущина, Докучаева, Белана и Баратова, «доступ к 500 миллионам ящиков на Yahoo!» они действительно получили, но базой этой не торговали, и в сами 500 миллионов аккаунтов не заглядывали (хоть и скачали какую-то часть общей базы паролей к себе). О первом взломе 2013 года в обвинительном заключении вообще не упоминается (хоть и нельзя исключить, что «восточноевропейская группа» — всё те же наши знакомые). И далеко не все действия обвиняемых, фигурирующие в обвинительном заключении, обязательно инициированы ФСБ.

По данным следствия, Алексей Белан не позже 2014 года поломал защиты Yahoo! и внедрился в почтовую систему портала на правах админа, преследуя свои собственные цели — преступные, но не шпионские. Выпуская фальшивые cookies от имени Yahoo!, он получил контроль над 30 миллионами ящиков, которые использовал для рассылки коммерческого спама. В отдельных ящиках он также искал номера кредитных карт и коды скидочных/подарочных сертификатов. Кроме того, Белан использовал свой административный доступ к серверам для перенаправления поискового траффика Yahoo! на сайт коммерческого рекламодателя (онлайн-фарма), который платил ему за переходы. Докучаев и Сущин могли знать об этой его деятельности, они могли даже быть там в доле, но это напрямую не связано с их службой в ФСБ.

По служебной линии господа офицеры с помощью Белана залезли примерно в 6500 почтовых ящиков из пользовательской базы Yahoo! для осуществления слежки за их владельцами. Достаточно одной этой цифры, чтобы понять, что круг лиц, за которыми осуществлялась слежка, был чрезвычайно широк. В обвинительном заключении (насчитывающем 47 эпизодов) нет имён, но приведены примеры, за кем следили: российские журналисты, чиновники и оппозиционные деятели, члены правительства и Совфеда, американские госчиновники, сотрудники интернет-компаний России и США, политики «соседнего с Россией государства», предприниматели, акционеры и менеджеры «российской финансовой корпорации» и т.п. В одном из потерпевших трудно не признать Аркадия Дворковича, хотя должность его названа в заключении довольно комично: «заместитель председателя Российской Федерации».

С этого места картинка становится уже трёхмерной, потому что мы тут можем сопоставить данные американского следствия с тем, что нам самим известно о деятельности «Шалтай-Болтая». Очевидно, за частью своих жертв группировка следила в рамках служебных обязанностей по линии ФСБ, а за другой частью — по коммерческому заказу, с оплатой в свой личный карман, с последующим шантажом фигурантов и (если не получали выкупа) выкладыванием переписки на вебе. Американским силовикам этих тонкостей, наверное, даже не объяснить. Но в руководстве ФБР были потрясены, когда осознали, что обвиняемые Докучаев и Сущин служили/служат ровно в том самом подразделении ФСБ, которое должно взаимодействовать с американскими кибер-полицейскими в деле розыска и поимки компьютерных преступников. В том самом отделе и департаменте, куда ФБР с 2012 года неоднократно обращалось за помощью в розыске Алексея Белана. Оказывается, он всё это время состоял у этих же чекистов на службе — и, вероятно, был первым читателем всей оперативной информации, которую ФБР про него накопало.

Вся эта история довольно увлекательна, а объём работы, проделанной американскими кибер-сыщиками, впечатляет. Особенно если сравнить их 39-страничный акт с российскими обвинительными заключениями, где сплошь и рядом действуют «неустановленные лица в неустановленном месте в неустановленное время», но при этом сочинители никогда не забудут упомянуть «имея преступный умысел на…», поскольку этот самый умысел должен быть позднее отражён в приговоре суда — даже когда речь идёт о лицах, оставшихся в итоге не установленными.

Но с другой стороны, неотвеченных вопросов после этого расследования остаётся довольно много, начиная со взлома Yahoo!. Заказала ли ФСБ этот взлом, чтобы получить доступ к тем самым 6500 ящикам, или воспользовалась удачным стечением обстоятельств, когда Белан взломал сервис для собственных нужд? И кто стоит за тем, другим взломом, после которого на продажу был выставлен миллиард паролей? «Восточноевропейская группа», которую отследил Комаров из InfoArmor — это те же наши знакомые из «Шалтая», или другая какая-то группа? А что за спецслужба купила у них базу, и зачем? И имеет ли вся эта история отношение к взлому серверов Демпартии? А к утечкам WikiLeaks?

Ну, и про «Шалтай» по-прежнему остаются все те же вопросы, не прояснённые с того дня, как мы впервые узнали об арестах участников группировки. Кто заказал им Дворковича? А Медведева? При чём тут вообще государственная измена? С кем они работали на Украине, и против кого? Возможно, как раз все те данные, которые нашли американские сыскари — про слежку за политиками и предпринимателями из «соседнего с Россией государства» — это ребята из «Шалтая» отрабатывали заказ одного украинского олигарха против другого. Предположение вполне логичное, но вряд ли оно в нынешних условиях облегчит их участь.

Оригинал

Комментарии

45

Пожалуйста, авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий.
>
Не заполнено
Не заполнено

Не заполнено
Не заполнено минимум 6 символов
Не заполнено

На вашу почту придет письмо со ссылкой на страницу восстановления пароля

Войти через соцсети:

X Q / 0
Зарегистрируйтесь

Если нет своего аккаунта

Авторизируйтесь

Если у вас уже есть аккаунт


ur_sus 20 марта 2017 | 09:27

//Кто заказал им Дворковича? А Медведева? //
А кто Кирова заказал? Ответ напрашивается сам-собой...


meteor1908 20 марта 2017 | 09:28

ur_sus: это бизнес, ничего личного...


jjtompson 20 марта 2017 | 10:32

Раскрутка "непримиримого борца с коррупцией" - это заказ АП или инициатива одного из ответработников ФСБ?


20 марта 2017 | 10:58

jjtompson: на ЭМ часто говорится, что "Держи вора" громче всего кричат именно воры. Учитывая постоянный шум на ЭМ по поводу воровства вывод напрашивается.


(комментарий скрыт)

20 марта 2017 | 11:28

romashka__: шестой год слушаю от эхофорумных прорицателей про скоро(TM)(R()(c)/


(комментарий скрыт)

danko_dura_ 20 марта 2017 | 12:33

ksp_22: Носик прав!!!


zdr_aviy 20 марта 2017 | 13:23

Носику (как потомку чекистов) должно быть известно, что чекистов ещё при Сталине пересажали за геноцид русского народа.
Сейчас в России - ФСБ.


a_publisher 20 марта 2017 | 14:09

Носик: "Каким-то способом Комарову удалось перехватить базу, выставленную на продажу, и он передал её американским силовикам, которые к ужасу своему обнаружили там адреса и пароли 150.000 госслужащих, включая сотрудников ФБР, ЦРУ, NSA и Белого дома."
-----------------------
А какого черта эти идиоты пользовались почтой на Yahoo? Кстати, думаю, что среди российских госслужащих и сотрудников спецслужб таких идиотов не меньше (а больше).


jjtompson 20 марта 2017 | 11:05

ksp_22: Путин поманеньку становится Чубайсом, который во всём виноват, а Лёша - Владим Владимирычем, который нас щас с колен подымет.
Такая вот рокировочка.


(комментарий скрыт)

irdo 20 марта 2017 | 18:59

k04egar_:
Чем быстрее эта гэбня друг друга передушит — тем лучше для всего остального населения.
============
Это племя неистребимо.
Читали ж "День опричника" Сорокина.


zdr_aviy 20 марта 2017 | 13:26

jjtompson: Путин поманеньку становится Чубайсом, который во всём виноват, а Лёша - Владим Владимирычем, который нас щас с колен подымет.
=====================

Навальный работает на Чубайса и остаётся вором, мошенником и лжецом.
Если даже Путин через Навального "мочит" 5ю колонну - это ничего не меняет.
Навальный - дважды судимый мошенник и вор.
Путин - лидер России с рекордным уровнем поддержки.
Высокий рейтинг Путина - результат борьбы с коррупцией (жуликами из антироссийской общины болотной).


figwass 20 марта 2017 | 11:41

ksp_22: Точно, кися, ты права как всегда.
Я поражаюсь как глубоко ты копаешь, кисуля.
нимкто не длдумался кроме тебя.
Это эхо является заказчиком Шалтай_ Больаев и контролирует российское ФСБ..
Про ФЙБР и говорить не надо.
Это просто филиал Эха.
Ну а Эхо работает на Навальн6ого, тут уже без сомнений.
Навальный самый могущественный человек во вселенной.


20 марта 2017 | 11:51

figwass: дуся, из тебя сегодня течет больше обычного. Заткни фонтан.


figwass 20 марта 2017 | 20:38

ksp_22: Кися, развальцованная ты наша, тебя опять капитально опустили. Ах они гады, что творят. без вазелина тебя дерут и даже с песочком.


dmitry_17__17 20 марта 2017 | 13:12

ksp_22, верни, украденные тобой подштанники, и прекрати ныть


irdo 20 марта 2017 | 16:21

jjtompson:
Опасные вопросы Вы задаете.
В соседнем блоге рьяные либералы на куски рвут Илларионова за нелицеприятные вопросы, бросающие тень на их кумиров.


jjtompson 20 марта 2017 | 16:29

irdo: Так ить на борьбу с привилегиями и её последствиями, вроде как, и насмотрелись, и налюбовались, и уже нахлебались досыта.
Теперь вот на коррупцию ополчились.


irdo 20 марта 2017 | 17:24

jjtompson:
Так ить на борьбу с привилегиями и её последствиями, вроде как, и насмотрелись, и налюбовались, и уже нахлебались досыта.
Теперь вот на коррупцию ополчились.
============

Популизм вдохновляет, так как не требует ничего взамен, кроме слепой веры.
Дешево и сердито.


irdo 20 марта 2017 | 16:16

meteor1908:
это бизнес, ничего личного...
===============
Все на продажу.
Обогащайтесь любой ценой, путриоты


sergiusru 20 марта 2017 | 13:31

С жульём, допустим, надо бороться! (с)

Не могут скрытно и без прослеживаемости связи с ФСБ взламывать - нечего и браться!
Это ж начальный уровень!

Только Россию позорят на весь мир!


pro_hanov 20 марта 2017 | 14:11

ur_sus: "А кто Кирова заказал? "

""Ах, огурчики мои, помидорчики! Сталин Кирова пришил в коридорчике!" (с) народное творчество


a_111111 20 марта 2017 | 16:04

ur_sus: А что товарищ Сталин разве жив? :)


segris 20 марта 2017 | 09:45

Ну да, эти хакеры зарегили IP адреса на свое имя понеслись с этих адресов стали взламывать американские почтовые сервакиа, тут-то их ФБР и повязало, спустя 2 года, правда.
Очень веселое представление.


keldn 20 марта 2017 | 10:41

segris: ничего кроме " ip на свое имя" в качестве улики уважаемому иксперду в голову не пришло...и это нормально


sh_mike 20 марта 2017 | 14:56

segris: Можно чуть-чуть поподробнее о "регости" IP-адресов? Это как вообще? Где регили-то, в чем? А имя какое, из паспорта?


seneshal 20 марта 2017 | 10:07

очень длинно и нудно. Достаточно последнего абзаца.


figure43 20 марта 2017 | 10:27

Это старая проблема сыщиков/шпионов - получая информацию они начинают ломать голову над тем, как ее использовать. И цели борьбы с преступностью, за которую им платят деньги, здесь далеко не на первом месте.
Все спецслужбы занимаются грязной работой. Но где-то за ними есть какой-никакой контроль, скажем так, общества, а у нас вообще никакого контроля.
Вот они и следят за всеми, используя незаконные методы.
Информация в виде компромата - это власть над фигурантом. И если такие фигуранты рассажены на всех ключевых постах - в правительстве, думе, судах, прокуратуре, полиции и т.д., то что еще надо людям с "холодной головой, горячим сердцем и чистыми руками", чтобы править страной?


belimbai 20 марта 2017 | 10:42

figure43: Или тем чей девиз //«И познаете истину, и истина сделает вас свободными»//


sarmat51 20 марта 2017 | 11:55

figure43: полиции и т.д., то что еще надо людям с "холодной головой, горячим сердцем и чистыми руками", чтобы править страной?

ооох ребята ни кто не сможет править страной ...никто ..не царь, не герой , не бог......ни хороший ,ни плохой ,,,,только верховенства закона ...ииии служить только ЗАКОНу смотри Америку ужж какой герой Трамп ..хотел все поставить с ног на голову .......ужже разочеровались в герое .рейтинг падает ..и уже и пинок под зад не за горами .....будет ичполнять закон ,будет работать до срока


sadness 20 марта 2017 | 10:47

Скоро голуби будут опять востребованы, как самые надежные от взлома)))


olegleon 20 марта 2017 | 11:07

"Каким-то способом Комарову удалось перехватить базу"

Антон, оценил Ваш юмор! может быть ему эту базу случайно прислали? а может он и сам хакнул кое-кого. но тогда и его могут привлечь к суду


lev__sha 20 марта 2017 | 13:27

Зачем на Эхо околачивается еврей Носик - осужденный по позорной Статье Уголовного кодекса РФ?


bazooka 20 марта 2017 | 15:01

lev__sha:
"А судьи кто?" ВолкИ позорные, клейма негде ставить...


lev__sha 20 марта 2017 | 15:21

bazooka: "А судьи кто?"
+++++++++++++++++++++++++++++++
Евреям не сметь цитировать Русскую Классику!
Цитируйте своих пусси-райотов-рабиновичей.


jasst3r 20 марта 2017 | 13:41

Я почему-то вообще не удивлён, что фсбшники делали прямо противоположное своим служебным обязанностям. Вполне очевидно, что этим занимается большинство чиновников нынешней России. Ответственным за это я считаю главу государства.


srk2658lu 20 марта 2017 | 14:53

Вот откуда у выпускников школы ФСБ Гелендвагены!


sh_mike 20 марта 2017 | 15:05

srk2658lu: Ну, Вы все-таки не путайте: гелендвагены - это у сынков чеченских бонз и иже с ними. Если их попросить что-нить хакнуть, они сначала будут искать молоток.


srk2658lu 20 марта 2017 | 15:45

sh_mike: Факты - упрямая вещь. Или вы не в курсе их выпускного заезда?


sh_mike 20 марта 2017 | 16:54

srk2658lu: Экий Вы, право слово! Ну, неужели надо разжевывать? Ну, не способны те гориллы, что на гелендвагенах, ничего хакнуть, понимаете?


boris1986 20 марта 2017 | 16:11

sh_mike: "Будут искать молоток" или бутылку из под шампанского , завалившуюся где нибудь под сиденье "гелена".


wowagera 20 марта 2017 | 18:15

Это не очень бизнес..Это скорее операция спецслужб..ФСБ в частности..


sasas 20 марта 2017 | 18:56

Получается никаких кибервойск в РФ нет , а есть банда проходимцев и жуликов....


(комментарий скрыт)

kissellew 20 марта 2017 | 22:12

Как у Жванецкого: - Что охраняем, то и имеем.
(прям как наркоконтроль)


kaplan911 20 марта 2017 | 22:57

Мда, имиджа нашим спецслужбам эта информация явно не прибавит.
Который и так был ниже плинтуса.
Гебня она и есть гебня.


vpavlov 21 марта 2017 | 01:50

Интересно, зачем этого расиста приглашают на "Эхо"? Типа, плюрализм...

Самое обсуждаемое

Популярное за неделю

Сегодня в эфире