Двойной обман. Как ФБР использовало украинского хакера Максима Попова

в 9:22, , рубрики: anonymous, Ant City, CarderPlanet, Cybercrime Monitoring Systems, Cycmos, E-Money, EMC, Hardcore Charlie, open source, script, VMware, X.25, Блог компании Rootwelt, виртуализация, властелин колец, Гермес-Пласт, информационная безопасность, исходный код, кардинг, Киберпанк, контрольная закупка, Леонид Соколов, Максим Попов, ФБР, хакеры, Эдвард Гилберт, метки: , , ,

Двойной обман. Как ФБР использовало украинского хакера Максима Попова - 1

Холодным днём 18 января 2001 года Максим Игоревич Попов, 20-летний украинский парень, нервно толкнул двери американского посольства в Лондоне. Его можно было принять за участника программы по студенческому обмену, который пришёл получать визу, но самом деле Максим был хакером, участником восточноевропейской хакерской группы, которая атаковала американские коммерческие компании, зарабатывая на вымогательстве и фроде. Прокатившаяся волна таких атак выглядела словно предвестник нового этапа Холодной войны между США и организованными хакерскими группировками в странах бывшего советского блока. Максим Попов с детским лицом, в очках и с короткой стрижкой, собирался стать первым перебежчиком в этой войне.

Этому предшествовали четыре месяца телефонных переговоров и два предварительных визита в посольство. Сейчас Попов встретился с помощником юридического атташе ФБР, чтобы предъявить паспорт и утвердить окончательные договорённости. Закончив с формальностями, вскоре он побрёл по зимнему холоду Гросвенор-сквер в гостиничный номер, который ему сняло посольство. Он открыл свой ноутбук, а также гостиничный минибар, и читал новую почту, опустошая маленькие бутылочки виски, пока не вырубился. На следующий день 19 января 2001 года Попов в сопровождении агентов ФБР приехал в аэропорт и сел на рейс авиакомпании TWA в США.

Максим нервничал, но это было радостное возбуждение. Он оставил родителей, институт и всё, что было знакомо, но в США он станет больше, чем просто послушным сыном и студентом. Попов находился в розыске и участвовал в международном заговоре, как персонаж одного из киберпанковских романов, которые он так любил. Он станет предоставлять услуги правительству за изрядный гонорар, используя свои знания в сфере информационной безопасности, а потом запустит интернет-стартап, чтобы заработать состояние и стать богатым. Таковы были планы.

Но когда самолёт приземлился, стало понятно, что договор работает немного иначе. Дружелюбные в прошлом агенты ФБР бросили Максима в изолятор, а через час вернулись с федеральным прокурором, адвокатом и условиями сделки, которые не обсуждались: Попов станет их информатором, будет работать без выходных, чтобы заманить подельников в ловушки, расставленные ФБР. Если он откажется, то пойдёт в тюрьму.

Максим был полностью обескуражен. Он понял, что его обвели вокруг пальца. Парня поместили под круглосуточную охрану ФБР на конспиративной квартире в Фер Лейкс, Виргиния, и приказали общаться со своими друзьями в русскоязычных чатах, в то время как бюро всё записывало. Но у Максима были собственные козыри в рукаве. Он только делал вид, что сотрудничает, а сам использовал непонятные американцам разговорные словечки, чтобы предупредить товарищей о том, что правительство США взяло его под стражу. Когда агенты в конце концов через три месяца получили переведённые логи, они пришли в ярость. Максима сразу вывезли из конспиративной квартиры в камеру маленькой местной тюрьмы, собираясь предъявить обвинения по прошлым киберпреступлениям. Украинец вёл себя вызывающе: «Идите в ж%пу, — сказал он. — Вы не знаете, с чем имеете дело». Но парень был испуган. Прокуроры со всей страны выстраивались в очередь, чтобы участвовать в процессе. Казалось, что ничто не спасёт от безрадостного будущего тюремных клеток и бесконечных американских судов.

Иначе думал Эрнест Гилберт (Ernest “E. J.” Hilbert), агент из захолустного офиса ФБР в Санта-Ане, Калифорния. Он лучше всех знал, что Попов нужен правительству.

Гилберт понял, что США находится на решающем этапе развития компьютерной преступности. В течение 90-х хакерство было спортом для развлечения. Но в 2000-е годы первые толчки надвигающегося землетрясения донеслись из Восточной Европы. Признаки были повсюду, если знать, куда смотреть: изменения в типах взламываемых веб-сайтов, объём спама и фишинговых атак, всплеск фрода по кредитным картам после многих лет постоянного снижения. Хакерство превращалось в профессиональное и прибыльное занятие.

В 2001 году украинские и российские хакеры запустили сайт CarderPlanet, который дал подпольному сообществу дополнительное опасное преимущество: масштабируемость. CarderPlanet работал как всеобщий рынок для покупки и продажи номеров кредитных карт, паролей, угнанных банковских аккаунтов и конфиденциальных данных. Сайт размещал платную рекламу, здесь была система рейтингов в стиле eBay, хорошо организованный форум. Впервые начинающий кардер мог найти все необходимые материалы для работы на одном-единственном сайте. Регистрировались тысячи новых пользователей.

Гилберт пришёл к выводу, что может взломать эту систему. Но сначала ему нужно было расколоть обозлённого украинского хакера, который однажды уже надурил ФБР.


Максим Попов вырос в 1000-летнем городе Житомир в двух часах езды к западу от Киева в то время, когда Украина делала первые шаги после распада Советского Союза. Он рано освоил компьютеры, получив первое образование в школе на неуклюжих клонах IBM XT украинского производства под названием «Поиск-1». На 15-летие отец купил ему домашний компьютер и модем, и Максим впервые вышел в интернет.

Воспитанный на киберпанковской научной фантастике и фильме «Хакеры» 1995 года, Максим Попов с самого начала знал две вещи. Во-первых, он станет хакером вне закона. Во-вторых, он заработает на этом деньги. Максим нашёл много единомышленников на русскоязычных форумах. В конце 90-х бывшие советские республики буквально кишели умными молодыми программистами, у которых в то же время не было особенных карьерных перспектив. Кардеры и хакеры запустили сувою собственную доткомовскую золотую лихорадку, воруя кредитные карты с американских интернет-магазинов.

Попов не был настолько технически подкован, как многие его коллеги, но у него был талант манипулирования людьми и хорошее знание английского. Он начал зарабатывать на обналичке денег с украденных кредиток, используя практически безупречный английский для подтверждения по телефону фродовых заказов в американских магазинах. Бизнес отлично шёл примерно год, но магазины постепенно начали с подозрением относиться к адресам доставки из Восточной Европы, так что схема протухла.

В то же время местные бандиты узнали о больших заработках Максима и начали навещать его, вымогая деньги. Попов сообразил, что и сам может применить схему вымогательства в более изящном виде. Он с друзьями взломал компьютеры одной компании, скопировал базу пользователей, а затем сам Попов связался с компанией и предложил услуги «консультанта по информационной безопасности», чтобы факт взлома остался в секрете, а базу не опубликовали — с соответствующей оплатой за свои услуги.

В июле 2000 года они взломали E-Money, ныне не существующую электронную платёжную систему из Вашингтона, и украли данные кредитных карт 38 000 клиентов. С веб-сайта Western Union они добыли ещё 16 000 записей о пользователях, с именами, адресами, паролями и банковскими карточками. Попов шёл на контакт с компаниями и предлагал защиту от взломов и уничтожение ураденных данных за небольшую оплату консалтинговых услуг в размере от $50 000 до $500 000.

Однако тактика принесла неприятный результат. Компания E-Money затягивала переговоры, втайне связавшись с ФБР, а Western Union публично объявила о взломе, лишив хакера надежды получить деньги. Его усилия ни к чему не привели, а давление соседских группировок нарастало. Попов чувствовал себя в западне, оставаясь в Житомире, в окружении мошенников средней руки и под угрозой насилия. Он начал размышлять о смелом шаге: перейти на сторону американской полиции. Максим подумал, что может сбежать из Украины и выдать себя за исправившегося хакера и эксперта компьютерной безопасности в стране открытых возможностей.

В итоге он оказался заперт в тюрьме Сент-Луиса неподалёку от офиса Western Union. По крайней мере до тех пор, пока агент Гилберт не пришёл за ним.

Семейный мужчина строгих правил, словно с экрана сериалов 50-х годов, Гилберт выглядел в точности так, как должен выглядеть федеральный агент, с серьёзным взглядом и аккуратными зачёсанными тёмными волосами. В возрасте 29 лет он отказался от карьеры школьного учителя истории, чтобы исполнить давнюю мечту и надеть значок ФБР. С первого дела его поставили заниматься киберпреступлениями: он вычислил опытного уральского хакера, который проник в компьютеры коммерческой компании в Анахайме, Калифорния, а потом помог организовать ловушку, чтобы выманить этого хакера в Сиэттл, где ФБР могло арестовать его. Гилберт понимал хакеров. Будучи пареньком из пригорода Сан-Диего, он и сам баловался невинным хакингом, взяв себе ник Idolin — древний термин, означающий призрак или дух.

Гилберт знал, что владеющий русским языком и опытный мошенник Попов способен проникнуть в такие места, куда ФБР вход заказан, через подпольные чаты и форумы, устанавливая связи с членами сообщества и снабжая бюро столь необходимыми уликами и оперативной информацией. Хитрость заключалась в том, чтобы начать осторожно обхаживать Попова, поглаживать его самолюбие и демонстрировать уважение его хакерскому мастерства.

Гилберт обсудил план с прокурором Лос-Анджелеса, который вёл дело против Максима Попова, и вскоре они двоём встретились с украинским хакером и его адвокатами в офисе прокурора Сент-Луиса. Они изъяснили условия сделки. Попов отсидит положенное по делу в Миссури, а правительство объединит остальные дела и передаст в Южную Калифорнию, где хакер отработает все обвинения, став агентом под прикрытием для ФБР.

На этот раз от Максима не требовали закладывать друзей. Его целями выбрали незнакомцев, к которым у хакера не было симпатии. Гилберт назвал это миссией по сбору разведывательных данных, как в фильмах про Джеймса Бонда. «Я действительно уважаю имеющиеся у вас навыки», — сказал он. Попов подписал сделку с признанием вины и принял предложение правительства в марте 2002 года. У Гилберта появился мул.


Попов не мог отказаться от шанса продемонстрировать свои навыки. Не успел он сойти с рейса Con Air в Калифорнию, как уже сидел за компьютером, предназначенном для изучения законодательства, в библиотеке тюрьмы Санта-Аны. Он обнаружил, что машина подключена к локальной сети тюрьмы, и в несколько нажатий клавиш Максим разослал «оскверняющие комментарии и замечания» — как было указано потом в дисциплинарном отчёте — на принтеры во всех офисах. Надзиратели уложили его лицом в пол, но Попов не жалел о содеянном. В тюрьме даже самый маленький хак стал глотком свежего воздуха.

Долгожданное облегчение пришло в августе, когда Гилберт и ещё один агент забрали хакера из камеры на его первый рабочий день. Во время процедуры, ставшей ежедневной рутиной, ноги и руки арестованного сковывались цепями, пока его выводили к машине. После краткосрочной поездки они открывали заднюю дверь офисного здания и заводили Максима в маленькую комнату, обставленную офисной мебелью, с несколькими компьютерами под Windows, конфискованными во время антипиратской облавы. Гилберт пристёгивал наручники к столу напротив компьютера и кириллической клавиатуры. Максим был в экстазе. По сравнению с тюрьмой, серый офисный кабинет казался президентскими апартаментами. Здесь он мог сделать что угодно.

Операцию назвали Ant City. Вернувшись в онлайн, Попов взял себя новую личность, начал зависать в подпольных чатах и публиковать сообщения на CarderPlanet, выдавая себя за выдающегося украинского скаммера, которому постоянно нужны кредитки. Его первой крупной целью стал один из верхушки в секретной иерархии CarderPlanet: таинственный украинский хакер, известный только по нику Script. Попов связался с ним в начале сентября, и двое стали переписываться напрямую в ICQ. Спустя две недели Попов договорился о покупке украденных кредиток на $400. Отправляя электронную информацию покупателю в Калифорнию, Script становился преступником в американской юрисдикции. Впоследствии полученные улики приведут к задержанию хакера американской полицией, хотя его и выпустят на свободу спустя шесть месяцев.

Такие «контрольные закупки» украденных карточек являлись ключевым элементом стратегии Гилберта: разбросать немного денег для Попова стало простым способом установления контактов, а получив карточки, Гилберт мог через кредитные компании выяснить источник утечки. Попов продолжал заключать сделки и собирать разведданные.

Иногда они работали несколько часов, а иногда трудились по 10 часов в сутки. Независимо от успехов хакера, каждый день заканчивался одинаково: Гилберт возвращался домой к семье, а Попов — в грязную тюремную камеру. Но однажды на День благодарения федеральный агент сделал неожиданный сюрприз своему подопечному. Когда Попов приехал на работу, он увидел на столе проектор, направленный на стену. Гилберт нажал пару кнопок на ноутбуке — и на экране появились вступительные титры фильма «Властелин колец: Братство кольца», который только что вышел на DVD.

На обед Гилберт принёс настоящую праздничную еду: фаршированную индейку с клюквенным сиропом и сладкой картошкой и даже тыквенный пирог. Максим был тронут, ведь Гилберт решил провести часть выходных с ним, а не с собственной семьёй.

Двойной обман. Как ФБР использовало украинского хакера Максима Попова - 2
Агент Гилберт был так доволен успехами Попова, что купил ему обед на День благодарения и принёс проектор с фильмом «Властелин колец»

Слухи об операции Ant City распространялись в Бюро, и со временем Гилберт стал получать запросы из других подразделений ФБР на расследование конкретных взломов. Самый крупный произошёл в феврале 2003 года: у процессинговой компании Data Processing International увели 8 млн банковских карточек клиентов. Попов начал спрашивать о DPI на форумах, и один из его знакомых, 21-летний российский студент под ником RES сказал, что знает троих хакеров, которые осуществили этот взлом.

Попов смело заявил, что желает купить все 8 млн карточек за $200 000, но сначала хочет получить небольшой образец. Этот образец позволил бы Гилберту определить, что карты действительно получены с компьютеров DPI. Но RES только посмеялся над предложением. Относительно скромные прошлые покупки Попова никак не указывали на то, что у него есть двести тысяч долларов.

Гилберт придумал решение. Максима одели в уличную одежду и в сопровождении агентов ФБР для безопасности отвели в ближайший банк, который согласился сотрудничать. Сотрудники банка вынесли из хранилища в служебное помещение $200 000 стодолларовыми купюрами и разложили на столе. Гилберт снял наручники с Максима и записал короткое видео, как тот тасует пачки наличности.

«Смотри, я показываю баблос, — сказал Попов по-русски. — Деньги настоящие, мать твою, без фигни. Я положу их на свой счёт». Он достал купюру из пачки и поднёс близко к камере: «Все долбаные водяные знаки, всё дерьмо тут. Я показываю тебе в упор, — он пренебрежительно бросил купюру на стол. — Так что зови братву и давай блин решать дело!»

Видео удовлетворило русских. Определить личность RES оказалось ещё проще. Попов упомянул, что часть денег заработал на работе в компании «Гермес-Пласт», которая занимается изготовлением пластиковых карт. Предполагая, что русский хакер сам попробует устроиться в эту компанию, он дал ссылку на их веб-сайт и адрес электронной почты предполагаемого босса Анатолия Фельдмана.

RES выслал резюме на адрес Фельдмана в тот же день, вместе с отсканированной копией своего национального паспорта Российской Федерации.

Конечно же, «Гермест-Пласт» была вымышленной компанией, которую организовали Гилберт с Поповым. Теперь ФБР знало настоящее имя RES, его дату рождения и адрес. Такая на удивление простая уловка срабатывала снова и снова. Одну вещь Попов всегда знал о восточноевропейских хакерах: им всегда нужна работа.


Спустя 8 месяцев работы на бюро, 8 апреля 2003 года Максима Попова вывели из тюрьмы Санта-Аны и сопроводили в суд для вынесения приговора. По ходатайству американского правительства федеральный судья Дэвид Картер (David Carter) вынес приговор о погашении срока заключения и трёх годах судебного надзора. Судья немедленно приказал запечатать все записи об этом приговоре.

Спустя 28 месяцев после того, как он сел на самолёт в США, Максим Попов наконец-то оказался на свободе — посреди калифорнийского округа Оранж-каунти, в 13 километрах от Диснейленда и на другой стороне планеты от родного Житомира. Его иммиграционный статус был неясен. У Максима не было грин-карты или номера социального страхования, так что он не мог получить легальную работу в Америке или водительские права. Гилберт позаботился, чтобы ФБР сняло ему квартиру возле пляжа и выплачивало тысячу долларов ежемесячной «стипендии» за участие в операции Ant City. Но Попов так и не смог привыкнуть к рутинной жизни в пригородном зное посреди автострад и торговых центров. В один из июльских дней он стоял на автобусной остановке возле офиса пробации, когда к нему подошёл местный житель, он был пьян, вёл себя агрессивно и ругался. Максим Попов ударил его несильно, но местный житель потерял сознание и распластался на тротуаре. В панике Максим позвонил в ФБР, уже представляя, что его отправят обратно в тюрьму. Он твёрдо решил для себя: если удастся выбраться из этого, он вернётся домой.

Судья Картер дал разрешение Попову навестить Украину, с условием обязательного возвращения до 18 августа в Калифорнию, где он должен прожить остаток своего трёхлетнего срока под судебным надзором. Гилберт отвёз его в аэропорт и попрощался, точно зная, что больше никогда его не увидит.

Операция Ant City завершилась. По оценке Гилберта, за это время на чёрном рынке было выявлено около 400 000 украденных кредиток, и более 700 компаний предупреждены, что их взломали хакеры из Восточной Европы. Против десяти подозреваемых выдвинули обвинения, в том числе против Script, но никого не экстрадировали.


Гилберт поддерживал связь с Поповым после его возвращения на родину. Тот основал свой бизнес, открыл компанию под названием Cybercrime Monitoring Systems (Cycmos). Как описывает её сам Попов, компания отслеживает подпольные рынки и продаёт разведданные компаниям, против которых готовится или уже совершена атака. Гилберт подтвердил, что так и есть. Судя по всему, Максим Попов начал применять в своём бизнесе навыки, полученные во время операции Ant City. Он также присылал Гилберту постоянный поток наводок и информации, по старой дружбе.

В канун нового 2004-го года мобильник Гилберта зазвонил: «Эй, знаешь что? — это говорил Попов своим ровным, приятным акцентом, — Здесь кое-что новенькое». Он объяснил, что речь идёт о большом взломе. И, что характерно, на этот раз жертвой стала не какая-то компания, а само ФБР.

Попов следил за одной хакерской группой, которая специализировалась на работе с сетевым протоколом доинтернетовской эпохи X.25, который использовался в 70-е и 80-е годы в первых сетях общего пользования с коммутацией пакетов. К 2004 году протокол X.25 устарел, как Betamax по отношению к VHS, но старые сети всё ещё поддерживали его для обратной совеместимости в тысячах корпораций и государственных агентств по всему миру.

Русские хакеры рылись в этих древних сетях, и однажды натолкнулись на кое-что интересное. Они внедрились в компьютерную сеть дата-центра AT&T в Нью-Джерси, где по контракту были установлены почтовые серверы ряда правительственных агентств США. Одним из них было ФБР, что давало доступ русским к переписке всех агентов с почтовыми адресами @fbi.gov.

Гилберт повесил трубку и сразу позвонил начальнику. Вскоре он был на самолёте в Вашингтон, чтобы возглавить расследование. Гилберт добился, чтобы ФБР выделило сумму $10 000 для оплаты услуг компании Cycmos, которая достанет какой-либо материал, украденный с серверов ФБР, и установит личности кого-либо из хакеров, которые участвовали в операции. Попов передал два документа, по его словам, полученные из почтовых ящиков ФБР: 11-страничное досье на одного из администраторов CarderPlanet под ником King Arthur, а также электронные таблицы с перечнем киберпреступных целей ФБР и Секретной службы, разделённые по юрисдикциям.

Список целей был полугодовой давности и снабжён пометками “Law Enforcement Sensitive” («Конфиденциальная информация правоохранительных органов») и “Do not transmit over the Internet” («Не передавать через интернет»). Для сообщества это потенциально была золотая жила, потому что документы содержали ники — а в некоторых случаях и реальные имена — более 100 хакеров, попавших под прицел американского правительства, с поверхностными пометками вроде «приоритетная цель» или «в данный момент сотрудничает с правительством». Об утечке проинформировали Белый дом, что подняло ставки ещё выше. Гилберт попросил Попова добыть больше информации.

Максим начал копать. Он указал Гилберту подпольный чат, где можно найти лидера хакерской группы, которая специализируется на X.25. Вскоре Гилберт сам общался с Леонидом Соколовым, студентом Санкт-Петербургского университета. В беседе он подтвердил взлом дата-центра AT&T и кражу документов. Гилберт получил, что хотел. Это было самое крупное дело в его карьере.

Двойной обман. Как ФБР использовало украинского хакера Максима Попова - 3
«Баблос настоящий!, — заявил Попов в видео, снятом для российского хакера. — Так что зови братву и давай блин решать дело!»

Но не обошлось без неприятных инцидентов. 10 февраля 2005 года Гилберта вызвали в штаб-квартиру ФБР. В конференц-зале сидели пять начальников, а разгневанный федеральный прокурор ругался по громкой связи.

Оказалось, что жертвами хакерской группы X.25 стали несколько корпораций, а Максим Попов обратился к ним, предлагая свою помощь. Одной из жертв стала бостонская EMC с многомиллиардными оборотами, у неё хакеры выкрали исходный код популярного программного обеспечения для виртуализации VMware. Если исходный код попадёт в открытый доступ, то хакеры со всего мира могут исследовать его в поисках уязвимостей. VMware используется для изоляции виртуальных машин на одном сервере, так что в самом худшем сценарии злоумышленник может использовать баг в программе и выйти из изолированного окружения одной виртуальной машины, получив доступ к серверу и всем остальным виртуальным машинам.

Используя свой стандартный бизнес-псевдоним «Денис Пинхаус» (Denis Pinhaus), Попов связался с компанией EMC и предупредил их о взломе. За соответствующую цену он пообещал предотвратить публикацию исходников в открытом доступе и помочь в техническом расследовании взлома. Как и раньше, Попов сообщил EMC имя и контактную информацию агента ФБР, который может подтвердить его надёжность: Эрнест Гилберт.

Очевидно, EMC посчитала, что налицо попытка вымогательства, и сообщила в бостонскую прокуратуру. Заявление попало на стол Стивена Хеймана (Stephen Heymann), жёсткого прокурора. Он специализировался на компьютерных взломах, а позже печально прославился из-за преследования интернет-активиста Аарона Шварца, которого в итоге довёл до самоубийства.

Теперь Хейман по громкой связи требовал ответа: кто такой Пинхаус? Гилберт объяснил, что Пинхаус был активом ФБР, который помогал со срочным расследованием. «Мне сейчас нужен этот парень», — сказал он. Хейман не поколебался. Он настаивал, что против украинца следует выдвинуть обвинение и добиваться его экстрадиции. Он требовал от Гилберта выдать его реальное имя.

Гилберт отказался. У Хеймана оставалось право завести уголовное дело на Пинхауса под его псевдонимом и запросить у ФБР через официальные каналы информацию о его настоящем имени. Но от Гилберта он его не получит.

Такой отказ был неприемлем для прокурора из Бостона — того города, где до сих пор помнили самый грязный скандал с информаторами ФБР. Прокуратура отправила в тюрьму бывшего агента ФБР, который десятилетиями прикрывал убийцу и одного из гангстерских главарей в Южном Бостоне за то, что тот работал информатором. «Это ещё одно дело Уайти Балджера!», — рычал прокурор.

Начальник приказал Гилберту выйти из комнаты. Гилберт пошёл к своему компьютеру и отправил сообщение Попову, чтобы тот держался подальше от EMC: «Брось это, хорошо? — вспоминает Гилберт текст. — Это важно. Все изучают эту ситуацию. Тебе нужно бросить».

Гилберт вернулся к делу AT&T. Соколову предъявили обвинение на закрытом заседании в Нью-Джерси, был выдан секретный ордер Red Notice в Интерпол на его арест, как только он покинет Россию и заедет в страну, подписавшую договор об экстрадиции с США. Попов получил гонорар и официальное благодарственное письмо от ФБР, которое мог разместить на своём веб-сайте: «Мы выражаем нашу признательность за оказанное содействие».

Всё дело так и осталось скрыто в тёмных глубинах истории ФБР. Единственным публичным упоминанием о взломе FBI.gov стала статья в Newsweek в 2005 году, и бюро преуменьшило инцидент, заявив о том, что никакой важной информации не похищено.

Спор с бостонским прокурором почти стёрся из памяти Гилберта. Но четыре месяца спустя из бюро неожиданно поступил приказ прервать всякие контакты с Поповым и передать более 600 страниц логов за 18 месяцев онлайновой переписки. Вскоре после этого его перевели из отдела по борьбе с киберпреступностью в подразделение по борьбе с терроризмом.

Гилберт погрузился в новое задание, но со временем заметил кое-что странное. Его отстраняли от любых поощрений, а агенты, которых он знал десятилетиями, перестали с ним разговаривать. В августе 2006 года он подал заявку на позицию начальника в лос-анджелесское подразделение. Когда информация о вакансии дошла до штаб-квартиры, Гилберта неожиданно вычеркнули из списка кандидатов и сказали, чтобы он не заявлялся повторно. «Что за чертовщина происходит?», — спросил Гилберт своего начальника. Тогда он и узнал то, что было известно всем окружающим: в отношении него ведётся расследование. Вот уже целый год управление Министерства юстиции Генерального инспектора вело дело по подозрению в мошенничестве и заговоре против правительства, а также утечке конфиденциальной информации правоохранительных органов — того предупреждения, которое он отправил Попову по поводу EMC.

Гилберт был опустошён. Он всегда мечтал о работе в ФБР, но расследование может опустить шлагбаум для его повышения по карьерной лестнице, а у него дома двое детей и третий на подходе. Он начал потихоньку искать возможности трудоустройства в частном секторе, и в феврале 2007 года он зашёл в кабинет начальника, сдал оружие, удостоверение и уволился. То самое выдающееся расследование в итоге положило конец его восьмилетней карьере в ФБР.

Гилберт хорошо вёл дела на новом рабочем месте как консультант, когда Попов снова позвонил ему, совершенно неожиданно. С момента их последнего разговора прошло более шести лет, и на этот раз у Попова не было делового предложения и никакой ценной информации. Только благодарность.

«Он позвонил сказать мне спасибо за то, как я относился к нему, и за своё время пребывания в тюрьме, и как это всё было сделано, — сказал Гилберт мне за обедом в семейном ресторане Оранж-каунти в начале 2013 года. — Сейчас он приехал домой и изменил свою жизнь, у него теперь семья, и он обязан мне всем, что у него есть — это его слова».

Звонок от Попова только расшевелил в Гилберте то смутное ощущение, что правительство несправедливо с ним обошлось. Даже после его увольнения офис Генерального инспектора продолжал расследование против него, а однажды даже послал агентов на рабочее место Гилберта для допроса. В конце концов, только в 2009 году расследование было прекращено, когда Министерство юстиции формально отказалось выдвигать обвинение.

В беседе со мной Максим Попов сначала рассказал то же самое, что и Гилберт. Но со временем появился дополнительный подтекст. Попов затаил личную обиду на EMC за ту историю. Дело в том, что к моменту звонка Гилберту он уже урегулировал сделку с EMC.

Оказалось, что одновременно с жалобой прокурору корпорация EMC втайне заключила сделку с Поповым в 2005 году, говорит он, и заплатила ему $30 000 сразу, а также обещала ещё $40 000 четырьмя платежами за четыре года при условии, что украденный код VMware не попадёт в открытый доступ. Он выполнил свою часть сделки. Код никогда не был опубликован, и сам факт того, что ценнейшие активы корпорации находятся в руках иностранных хакеров, остался неизвестен акционерам и клиентам компании.

Спустя четыре года он связался с EMC, чтобы компания выплатила ему остаток от общей суммы $70 000, но компания отказалась платить, говорит он (представители EMC отказались от комментариев). К тому моменту EMC выделила VMware в отдельный бизнес. Для Попова это выглядело, словно они хотят сделать вид, что ничего и не было.

Двойной обман. Как ФБР использовало украинского хакера Максима Попова - 4
Гилберт зашёл в кабинет начальника, сдал оружие, удостоверение и уволился — его восьмилетняя карьера в ФБР была закончена

Явное неуважение задело Максима и он захотел отомстить. Попов создал новую личность — Hardcore Charlie, хактивиста из движения Anonymous. 23 апреля 2012 года, почти через восемь лет после кражи, первые 520 строк исходного кода VMware появились в открытом доступе.

Несмотря на возраст исходников, информация об утечке наделала шуму в компьютерном мире и подняла на уши сотрудников в офисах VMware в Пало-Альто. Взлом 2004 года давно испарился из корпоративной памяти, а часть украденного кода ядра по-прежнему использовалась в последней версии продукта. Директор по безопасности Иэн Малхолланд (Iain Mulholland), бывший офицер британской армии, развернул мощную операцию по минимизации ущерба и нанял всех аудиторов, до которых только мог дотянуться, для поиска уязвимостей в коде ядра. Компания выпустила первый из многочисленных обновлений безопасности, которые латали найденные дыры, уже через 10 дней. Ко времени, когда Попов выложил более объёмный фрагмент кода в ноябре 2012 года, все критические уязвимости были устранены.

Такие действия не очень похожи на действия обычного консультанта по информационной безопасности. Когда я слегка надавил на Максима, он наконец-то признал очевидное: взлом EMC и почтовых серверов ФБР был не простой атакой случайного хакера.

«Технически, это сделали мы», — сказал мне Максим в телефонном разговоре поздно вечером.

Соколов, тот питерский студент, против которого ФБР выдвинуло обвинения и которого объявил в розыск Интерпол, с самого начала работал вместе с Поповым, выжимая деньги после взломов X.25. «Он лучший из лучших», — сказал Попов. Когда они проникли в дата-центр AT&T, Попов пришёл к выводу, что телекоммуникационный гигант легко заплатит $150 000, чтобы узнать подробности взлома и защитить свои правительственные контракты. Только когда AT&T отказалась от сделки, Попов позвонил Гилберту и сказал о взломе, надеясь, что ФБР заплатит за информацию.

Заключив сделку с Гилбертом, Попов уговорил Соколова побеседовать с агентом в чате, чтобы тот «раскрыл» преступление. Попов говорит, что сам Гилберт не был участником заговора. «Думаю, он что-то подозревал, на самом деле, — говорит Попов. — Но тогда это было не так очевидно».

Я не могу подтвердить, подозревал что-то Гилберт или нет, потому что к моменту признания Попова сам Гилберт прекратил общение со мной, поскольку оглашение всей этой истории с операцией Ant City может повредить его новой карьере на посту директора по компьютерной безопасности и защите данных в крупнейшей компании консалтинга и аудита PricewaterhouseCoopers.

Со своей стороны, Попов, которому сейчас 35 лет, кажется одновременно дерзким и утомлённым. Он не сожалеет о взломе ФБР. Но его дерзость слегка тухнет, когда я спрашиваю, какую роль его сыграла его двуличность в разрушении карьеры Гилберта в ФБР.


За годы, прошедшие после операции Ant City, подпольное сообщество в Восточной Европе прошло большой путь и выросло до огромных масштабов. Взломы Target и Home Depot привела к утечке почти 100 миллионов дебетовых и кредитных карт в 2013 и 2014 годах. Сделанный в России банковский троян ZeuS способствовал росту воровства из онлайн-банкинга до максимальных показателей за 10 лет. Черви и ботнеты, вымогатели, которые шифруют файлы и требуют выкуп за биткоины, даже сложная схема инсайдерского трейдинга с ущербом в $100 млн — всё это связано с хакерами из бывших советских республик. Как обычно, масштабируемость решает всё. Русский хакер не взламывает банк, чтобы украсть немного денег. Он создаёт пакет программного обеспечения, который автоматизирует взлом банков, и продаёт его на подпольных форумах по $3000 за копию. Его клиенты — настоящие воры — нанимают спамеров для распространения зловреда и денежных мулов для отмывки денег. У каждого своя специализация. Каждый получает вознаграждение.

Работа Гилберта с Поповым стала первой попыткой расколоть этот мир, хотя во многих отношениях это был просто новый приём традиционной тактики правоохранительных органов. Когда федеральное агентство сталкивается с мощной криминальной машиной, оно неизменно пытается саботировать её работу изнутри. И чтобы сделать это, агентство должно стать рабочим компонентом в том самом криминальном механизме, который надеется разрушить. Такая тактика всегда угрожает хрупкому балансу, и операция Ant City стала не последним примером, когда она приносит обратный эффект. Вскоре после неё в другом деле информатор Секретной службы Альберт Гонсалез вступил в тайный сговор с русскими хакерами, что привело к утечке 160 миллионов кредитных карт и нанесло ущерб в сотни миллионов долларов — прежде чем его поймали и приговорили к 20-летнему тюремному заключению в 2010 году. Федеральный прокурор, помощник прокурора Хеймана, просил 25 лет.

Некоторые операции завершаются арестами и вручением наград, другие — тишиной и растерянностью. Единственное остаётся неизменным — это андеграунд Восточной Европы, который перемалывает на своём пути любые преграды, как любая машина, неутомимо и безразлично, в основном, просто в поисках оплачиваемой работы.

Автор: Rootwelt

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js