Арестованный экс-сотрудник ФСБ опроверг рассказ хакера о взломах в США
Арестованный по подозрению в госизмене бывший сотрудник Центра информационной безопасности (ЦИБ) ФСБ Дмитрий Докучаев опроверг свое знакомство с хакером Константином Козловским, который был арестован по делу группировки Lurk и сейчас находится в СИЗО. Ранее Козловский обвинил Докучаева в инициировании хакерских атак на ресурсы Демократической партии США.
«Я отрицаю знакомство (общение) с Козловским и, соответственно, какое-либо сотрудничество с ним», — передал Дмитрий Докучаев РБК через своего адвоката.
Козловского арестовали в мае 2016 года в ходе совместной операции ФСБ и МВД. По версии следствия, он является главой хакерской группировки Lurk, на протяжении нескольких лет взламывавшей банки. После ареста Козловский выложил в интернет письма, где утверждает, что около десяти лет сотрудничал с ФСБ, а его куратором был Докучаев, который давал задания взломать национальный комитет Демократической партии США, электронную переписку Хиллари Клинтон, Всемирное антидопинговое агентство (WADA), а также военные предприятия США.
Козловский также опубликовал копии стенограмм судебных заседаний из Мосгорсуда и выдержки из материалов дела. Подлинность документов подтвердили источники РБК со стороны защиты и обвинения.
В материалах, выложенных Козловским, говорится, что расследованием деятельности Lurk занимался ЦИБ ФСБ. Некоторые документы подписывал начальник второго оперативного управления ЦИБ ФСБ Сергей Михайлов. В качестве независимых специалистов к делу привлекали отдел расследования компьютерных инцидентов «Лаборатории Касперского», который на тот момент возглавлял сотрудник компании Руслан Стоянов.
Спустя полгода после ареста Козловского в СИЗО оказались Михайлов, Стоянов, Докучаев и некий Георгий Фомченков. Их обвинили в государственной измене. По версии следствия, сотрудники ЦИБ с помощью Стоянова в 2010 году могли передавать секретную информацию Центральному разведывательному управлению (ЦРУ) США, говорили источники РБК. Но издание The Bell со ссылкой на собственные источники сообщало, что задержанные могли быть причастны к утечке информации об атаках на серверы Демократической партии США.
Как ранее сообщал РБК, Докучаев до прихода в ФСБ сам был хакером, известным в Сети под ником Forb, а также работал редактором рубрики «Взлом» в журнале «Хакер». Собеседник РБК в правоохранительных органах, более десяти лет знакомый с Докучаевым, утверждает, что тот действительно поддерживал контакты с некоторыми людьми в «хакерском сообществе», но упоминаний о Козловском он от Докучаева никогда не слышал. Два собеседника РБК, работавших в журнале «Хакер», также утверждают, что никогда не слышали от Докучаева упоминаний о Козловском.
Версия АНБ
О кибератаках на национальный комитет Демократической партии США стало известно в июне 2016 года. Компания Crowdstrike, привлеченная к расследованию этого преступления, пришла к выводу, что вторжения в ИТ-систему демократов происходили дважды, летом 2015 года и весной 2016 года. По версии компании, первую атаку совершила хакерская группировка Cozy Bear, которую эксперты связали с ФСБ, а вторую — Fancy Bear, имеющая, по их мнению, отношение к главному управлению Генерального штаба Вооруженных сил России. Хакеры похитили внутреннюю информацию и письма из электронных ящиков политиков. В дальнейшем часть украденной информации была выложена в открытый доступ хакером по прозвищу Guccifer 2.0, чья личность не установлена. В июне 2016 года массив украденных данных также появился на WikiLeaks. Федеральное бюро расследований и Агентство национальной безопасности США в конце года опубликовали совместный доклад, обвинив Россию в хакерских атаках и попытке вмешательства в выборы президента США, прошедших в ноябре 2016 года.
Версия Козловского
Константин Козловский утверждает, что арестованные сотрудники ЦИБ координировали работу хакеров. «Меня с 16 лет вели Докучаев и его компания, и я выполнял все, что они говорили, а теперь мы все в тюрьме», — заявил хакер в августе 2017 года в ходе судебного заседания по продлению ему ареста. Как утверждает Козловский, он «выполнял разные задания под руководством сотрудников ФСБ, в частности взлом национального комитета Демократической партии США и электронной переписки Хиллари Клинтон, а также взламывал очень серьезные военные предприятия США».
В истории хакера существуют пробелы. Первое письмо о сотрудничестве с ФСБ он написал в ноябре 2016 года, до ареста Сергея Михайлова и Дмитрия Докучаева. В нем Козловский утверждает, что был завербован сотрудниками ФСБ в 2008 году, когда ему было 20 лет. На суде же хакер говорил, что его завербовали в возрасте 16 лет, то есть в 2004-м. При этом Докучаев устроился на работу в ФСБ в Екатеринбурге только в конце 2006 года, а в Москву был переведен в начале 2007-го, рассказал РБК собеседник в правоохранительных органах, много лет знакомый с ним. Кроме того, в первом письме Козловский утверждает, что его куратором в ФСБ был некий Илья, в то время как в более поздних письмах говорит о Докучаеве. И лишь в одном из них указывает, что Илья и есть Докучаев.
Среди многочисленных взломов, о которых пишет Козловский, значится взлом WADA. Об этом инциденте стало известно в сентябре 2016 года, когда хакеры из группировки Fancy Bear опубликовали информацию, доказывающую, что американским спортсменам разрешили использовать запрещенные препараты в медицинских целях. Но Козловский на тот момент был уже четыре месяца в СИЗО, поэтому вряд ли мог участвовать во взломе и публикации материалов. Он также не уточняет ни в одном из писем, в каком именно из двух взломов демпартии США принимал участие.
Собеседник РБК, знакомый с деталями расследования уголовного дела группировки Lurk, утверждает, что вредоносный софт, который использовался этими хакерами, был направлен исключительно на кражу денег из банков. «На компьютерах задержанных не было образцов вредоносного ПО другого вида. То есть никаких взломов из политических убеждений они не осуществляли», — говорит он. Козловский, по словам источника, в группировке выполнял исключительно «менеджерские функции». «Технической стороной вопроса, в частности написанием кода Lurk, занимались совершенно другие люди с другой квалификацией, которой у Козловского просто нет», — продолжает он.
«Козловский просто хочет развалить дело или в крайнем случае скостить срок: если адвокат грамотный и сможет доказать факт его работы на государство, это значительно улучшит его позиции. Но никаких подтверждений его словам нет. В своих письмах он просит еще и политическое убежище — это, на мой взгляд, и является причиной его откровений про взломы по заказу ФСБ», — говорит источник РБК в правоохранительных органах, знакомый с деталями расследования в отношении группы Lurk.
Mazafaka
Козловский и Докучаев родились в Екатеринбурге, оба учились в Уральском государственном университете (в 2011 году вошел в состав Уральского федерального университета, УрФУ), рассказали РБК знакомая хакера и источник, близкий к экс-главе ЦИБ ФСБ. Но учиться на одном потоке или быть однокурсниками, скорее всего, они не могли из-за разницы в возрасте: Козловский — 1988 года рождения, Докучаев — 1984-го. В пресс-службе УрФУ от комментариев отказались.
Согласно материалам правоохранительных органов в середине 2017 года Козловский направлял в МВД информацию, что Докучаев и Михайлов «создали и использовали международный хакерский форум Mazafaka, направленный на взлом иностранных финансовых учреждений». Форум Mazafaka, который в разное время располагался по адресам maza.la и mazafaka.cc, — это закрытый форум для общения мошенников с платежными картами.
Несколько месяцев назад об этом же факте из биографии Докучаева и Михайлова в разговоре с РБК упоминал один из сотрудников правоохранительных органов, а также давний знакомый Михайлова, основатель компании Chronopay Павел Врублевский. Последние двое долгое время общались, но потом их отношения испортились и в 2013 году благодаря расследованию ЦИБ ФСБ и личным показаниям Михайлова Врублевский был осужден за DDoS-атаку на конкурента (вышел спустя год по УДО). По словам двух источников РБК, Врублевского вызывали для дачи показаний по делу о госизмене в отношении Михайлова и его партнеров.
«Михайлов с Докучаевым, а также сотрудник «Лаборатории Касперского» фактически организовали транснациональное манипулирование органами власти, и еще предстоит разобраться, почему в США это все происходило так легко и непринужденно. Методы их работы зашкаливали: все знали, что форум «Маза» (Mazafaka. — РБК) был их, и никого это почему-то не смущало», — сообщил РБК Врублевский.
Собеседник РБК в сфере информационной безопасности утверждает, что создатели форума были «широко известны в узких кругах». «Учитывая, что Козловский и Докучаев из одного города и учились в одном вузе, может, они и были знакомы. Но никаких доказательств его работы на Докучаева или даже какого-то постоянного общения с ним он [Козловский] пока не представил. А о том, что сотрудники ФСБ либо для оперативных целей, либо для чего-то еще участвовали в работе форума «Маза», в кругу кардеров знают многие: они спалились (были раскрыты. — РБК) несколько лет назад. Неудивительно, что об этом знает и Козловский, которого следствие и обвиняет в кардинге», — говорит собеседник РБК.
Адвокат Козловского Галина Тоштаева от комментариев РБК отказалась. Адвокат Михайлова и представитель ФСБ не ответили на запрос РБК.