Интернет-газета KONTINENT на Facebook Интернет-газета KONTINENT в Одноклассниках  Интернет-газета KONTINENT ВКонтакте Интернет-газета KONTINENT в Twitter
Главная / Аналитика / Как один немец легендарного русского хакера разоблачил

Как один немец легендарного русского хакера разоблачил

Немецкий IT-специалист ищет тему для научной работы и погружается в пучину мировой политики. Он находит хакера, за которым охотятся сильней всего в мире: русского, который, возможно, еще и шпион.

Backlit_keyboard

Мрачным ноябрьским днем, после недель поиска, Кристиан Россов (Christian Rossow) по воле случая попадает в жернова мировой политики. Он сидит в офисе, размеров которого едва хватает на два письменных стола и шкаф, и пробивается сквозь чащу цифр, мерцающих на экране компьютера. Что-то там Россов нашел.

Цифры идут из подвала, этажом ниже, из помещения без окон. Кроме Россова, ключ есть еще у четверых. Помещение – это сверхсекретная лаборатория его университета. Если Россову там что-то нужно, ему следует поторопиться. В помещении холодно и гулко, старый кондиционер едва поддерживает постоянную температуру 19 градусов. Здесь стоят 15 высокомощных компьютера, высоких и широких, как платяные шкафы, и при этом очень чувствительных к высокой температуре.

Россов использует их, как подопытных животных. Он заражает их возбудителями, новейшими вирусами, троянами и «червями», которые ежедневно присылают ему производители антивирусных программ. На экране в своем офисе ему видно, что творят эти вирусы. Лишь несколько компьютеров связаны специальной программой с лабораторией в подвале.

Первое же число на мониторе Россова означает, что в подвале свирепствует вредоносная программа, причем так, как ему редко доводилось видеть. Она за несколько минут может соединиться с сотнями чужих компьютеров. Это как раз то, что он ищет. Россов делает пару тестов и смотрит в интернете, занимался ли уже какой-нибудь фанат технологий или ученый этой программой. Он ничего не находит. Вот, думает он, прекрасный пример для его кандидатской диссертации.

Побил хакера Евгения Богачева его же оружием

Еще не подозревая того, Россов в тот день начинает охоту на самого разыскиваемого киберпреступника в мире. Лет пять спустя он будет сидеть дома на черном кожаном диване, с бледным лицом, и рассказывать историю своей жизни, гордо и вместе с тем несколько обеспокоенно. Ему удалось то, что редко кому удается. Но случай вышел из-под контроля.

США установили фантома, мастера электронного воровства. Его имя Евгений Михайлович Богачев, российский гражданин, 32 года, мужчина с округлым лицом, гладко выбритой головой и темными кругами под глазами. За ним охотились стражи порядка из более 10 стран, они сажали ему на хвост подосланных агентов, просили о помощи компьютерных гениев и гигантов компьютерной индустрии, такие фирмы как Dell и Microsoft. Но именно Руссову и паре его знакомых удалось побить Богачева его же собственным оружием.

ФБР называет Богачева хакером мирового масштаба. Он занимался написанием и распространением программ, с помощью которых он, его помощники и клиенты совершали сотни тысяч разбойных нападений.

Пакет его программ носит название «Gameover Zeus» (Игра окончена, Зевс. — Прим. перев.). Это словосочетание, позаимствованное наполовину из компьютерной игры, наполовину из древнегреческой мифологии. «Все прекращается, когда приходит верховный бог Олимпа» — примерно так можно это перевести. Не совсем скромно, но вполне подходяще. Ибо Богачев создал электронный инструмент, при помощи которого он и его помощники могли обчищать чужие счета, блокировать компьютеры и  заставлять виснуть серверы.

ФБР считает, что речь идет о порядка 100 миллионах долларов ущерба 

По сведениям ФБР, Богачев и 20 его помощников заразили этой программой миллион компьютеров по всему миру. Его жертвами стали предприятия, банки и частные лица. По слухам, у одного только индейского племени в штате Вашингтон он украл 277 тысяч долларов, у банка во Флориде — 6,9 миллионов.

Никто не знает точно, сколько денег в общей сложности он похитил, какой ущерб он причинил. ВБР исходит из порядка 100 миллионов долларов, и это только в США. Вероятно, на самом деле сумма больше в разы, поскольку Богачев похищал своей программой средства также в Азии, Европе, Германии.

Годами он мог чувствовать себя в безопасности. Он усовершенствовал преступление, которое защищает совершающих его, а другую сторону — полицейских и сотрудников прокуратуры — ставит перед задачей, которую те без специалистов вроде Россова решить не в состоянии.

Следователи имеют дело с призраками, которые скрываются за сокращениями или придуманными именами. У них нет почти ничего из того, что им обычно нужно, чтобы расследовать дело. Нет ни места преступления, ни отпечатков пальцев, ни остатков кожи или волос, которые можно было бы подвергнуть генной экспертизе; нет ни свидетелей, ни описания преступников.

Пароли и деньги похищались через ботнеты

Ворам века цифровых технологий больше не нужно пробираться в банк, квартиру. Они могут задействовать компьютерные вирусы, которые запускают свои электронные ДНК в чужие процессоры и самостоятельно заражают все новые компьютеры, создавая целые цепочки компьютеров, так называемые ботнеты. Хакеры могут тайно управлять такими ботнетами, получать доступ к счетам интернет-пользователей, красть их пароли и их деньги. Программе Богачева это удавалось прекрасно. Она даже могла шпионить.

Поэтому следователи вели неравный бой, часто годами, по большей части напрасно. Однако иногда все складывается по-другому. Иногда постепенно за псевдонимами начинает распознаваться человек со своими привычками и слабостями, преступник, на след которого можно напасть, как в случае с Богачевым. США обвиняли Богачева и как носителя ников «slavik», «lucky12345» и «Pollingsoon». ФБР гордится одним из немногих крупных успехов. Без Россова это было бы невозможно.

Ясным холодным пятничным утром Россов сидит в своей квартире под самой крышей дома красного клинкерного кирпича в Динслакене, в западной провинции Германии. Все в нем длинное и узкое — лицо, тело, пальцы. Черный ноутбук, чуть больше листа бумаги, лежит перед ним наготове на диване. Ему смешно, когда он думает о своем первом компьютере, большом ящике фирмы IBM.

Ему было девять лет, когда он сидел в своей детской, в одной из половин двухквартирного дома, и писал программу для своей первой игры. Ему было 11, когда в моду вошел интернет, и он создал для знакомых собственные веб-страницы, чтобы те могли продавать фильмы или книги. После школы он пошел учиться на программиста, начал обучение в университете, специализируясь на вредоносных программах.

Кибероружие, обчищающее банки и представляющее угрозу для государств 

Существует бесчисленное множество вирусов, троянов, интернет-вредителей, каждый день появляется еще с полмиллиона новых. Среди них есть плохо запрограммированные, грубо сработанные и почти бесполезные; но есть и опасное кибероружие, которое обчищает банки, обесточивает электростанции и даже представляет угрозу для государств. Россов интересуется лишь вирусами с хорошей программой. Ежедневно он просматривает десятки таких, читает их коды, строку за строкой. Он хочет понять, как они работают, как проникают в чужие компьютеры и как их обезвредить.

Он часть тайной борьбы, ведомой с помощью клавиатур, байтов, кодов и стекловолоконных кабелей: программист против программиста, добро против зла. Одни изобретают кибероружие, другие изучают их схемы и пытаются это оружие обезвредить.

«Это игра», — говорит Россов.

Он сидит за столом или на диване, перед монитором, соединяющим его с наружным миром. Он изучает своих противников, их стратегию, чтобы по возможности заранее понять, что те намерены делать дальше. Они могут быть подростками или  взрослыми мужчинами, сидящими где-то в темной комнате и носящими куртку с капюшоном и козлиную бородку: он никогда этого не узнает.

Россов обнаруживает «Gameover Zeus» в середине ноября 2011 года

Вероятно, большинство начинали, как и он: немного программировали или взламывали игры, чтобы не покупать их. Россов рано решил для себя быть на стороне добра. Как исследователь — независимый, добросовестный, деловой.

Профессиональные хакеры, говорит он, становятся все лучше, их атаки все точней и хитрей. То, чего они сами не хотят или не могут создать, они покупают на форумах в интернете, на черном рынке цифрового подполья. Там они могут найти компьютеры для своих атак. Или доступ к компьютерам, которые без ведома владельцев подключаются к ботнетам. На этих форумах эта имеющая четкое разделение труда индустрия предлагает компоненты для мощного электронного оружия; иногда это происходит в закрытых клубах, доступ в которые есть лишь у считанного числа членов.

Когда Россов в своем офисе впервые наткнулся на  «Gameover Zeus», была середина ноября 2011 года. Незадолго до этого кто-то прислал сотруднику одной фирмы на северо-западе американского штата Пенсильвания электронное сообщение со ссылкой, выглядевшей так, словно ее прислал его шеф. Так он открыл доступ к данным и счетам своей фирмы. Это, как выяснится, было первое разбойное нападение Богачева. Добычу, примерно миллион долларов, он с помощью подставных лиц перевел на счет в Лондоне.

Россов не может об этом ничего знать. Программа, которую он обнаружил в подвале, в лаборатории вирусов, еще неизвестна. Ее код читается как едва ли подлежащая расшифровке тайнопись. Она укрывается глубоко в системе процессора, не рассылает спам и, кажется, чего-то выжидает. Кроме того, она, определенно, очень хорошо закодирована. Россов хочет выяснить побольше о том, как эта программа работает. Он хочет понаблюдать, как функционирует оружие.

Следы данных в коде кибероружия

В течение следующих недель он днями напролет сидит в своем сером университетском офисе, а вечерами дома, в рабочем кабинете, со своим маленьким черным ноутбуком, часто до поздней ночи. Он мало спит, его подруга его почти не видит. Лишь днем, когда солнце уже светит, он идет на пробежку, чтобы хоть полчаса ни о чем не думать.

Постепенно он начинает понимать логику этого трояна. Как тот контактирует с чужими компьютерами, как он представляется и образует свой гигантский ботнет. В секретной лаборатории своего университета Россов достраивает копию вредоносной программы, чтобы провести остальные тесты. А однажды он находит на польском специализированном блоге статью.

Кто-то, как и он, ученый, очевидно, наткнулся на того же трояна, проанализировал его и пришел к выводу, что этот вредитель не взломать – слишком совершенная программа. Ибо «Gameover Zeus» не только очень быстр, его создатель придумал для себя особую маскировку.

Хакерам приходится принимать ряд решений, когда они разрабатывают свои вредоносные программы. Например, как зараженные компьютеры будут получать инициирующие команды. Они могут тайно заложить эту информацию в код своего кибероружия. Но они могут и заставить контролировать выбранный ими тайно процессор другим компьютером или сразу несколькими. Преимущество первого варианта в том, что их собственный контроль непосредственней, надежней. Минус: они оставляют больше следов данных, на которые могут напасть киберсыщики или такие, как Россов.

Замаскированное проникновение в ботнет

Богачев выбрал для себя второй вариант. Компьютер, с которого он рассылает своего трояна, использует зараженные компьютеры как посланцев. Так он становится практически невидимым, компьютер в сочетании с сотнями тысяч других, почти все из которых постоянно рассылают и передают какие-нибудь команды.

Россов впечатлен. Подобное искусное оружие он видит редко, его автор почти не оставляет противникам пространства для поражения. И все же у каждой программы есть свои слабые места, совершенного кода не существует, думает Россов. Иначе и такие рабочие системы, как Windows, Mac OS или Linux, были бы неуязвимы.

В один из этих долгих вечеров, когда Россов смотрит в черное ночное небо сквозь окно домашнего рабочего кабинета, ему кажется, что он обнаружил это слабое место. Богачев не контролирует, кто подключается к его ботнету. Он отказался от установки надежного замка. Может, он и не думал о подобной проблеме. А может, был слишком уверен в своей системе и полагал, что его маскировку не обнаружить.

Россову удается незаметно войти в ботнет Богачева. Теперь он, хорошо замаскировавшись, подстерегает и выслеживает противника. Если его предположения верны и ему удастся отключить богачевского трояна, то это заинтересует не только его профессоров, но и производителей антивирусного оборудования, крупные компьютерные фирмы, службы безопасности в IT-сфере, федеральный уголовный розыск, Европол, а может, даже и ФБР.  Но одному ему в любом случае не справиться. Слишком много работы, а ему нужно действовать быстро, если он хочет быть первым. У него есть два знакомых, которые помогают ему: студент, чьей работой он руководит, и коллега, которого он давно знает.

Кибергангстеры сидят в России или на Украине

Они сидят в своих квартирах в Динслакене, Амстердаме и Дюссельдорфе, анализируют данные и общаются по видеосвязи, если удается выяснить что-то новое, часто по нескольку раз в день. Через пару недель они, кажется, знают, как атаковать оружие Богачева, а также, когда для этого самый подходящий момент: вечер пятницы.

Россов протестировал в вирусной лаборатории, какие компьютеры в ботнете Богачева обмениваются между собой особенно большим объемом информации. Через них он, вероятно, управляет своим ботнетом. Кроме того, Россов и его знакомые выяснили, что обновление «Gameover Zeus», новейшие версии программы, всегда появляются в конце недели, чаще всего рано утром.

Это значит, что кибергангстеры, похоже, по выходным не работают и живут примерно в том же временном поясе; возможно, в Европе, вероятней — на Украине или в России. Там полным полно программистов с хорошим образованием. В Германии фирмы или научные учреждения могли бы привлечь их выгодными контрактами, но в России слишком мало работы.

Пятничным вечером, в шестом часу Россов дома, в своем рабочем кабинете. Середина мая 2012 года. На экране его компьютера друг рядом с другом открыты два окна, белое и черное. В белом он видит лица обоих коллег, напряженные, как и у него. У себя дома, перед компьютерами, они смотрят на то же черное окошко, что и он, и видят матрицу. Там, где другие видят лишь бесконечную череду цифр, букв и знаков, им виден целый мир.

Контратака через университетские компьютеры

Им понадобилось почти два месяца, чтобы написать код для своей атаки. Код должен манипулировать связями компьютеров между собой, извлекая их тем самым одного за другим из богачевского ботнета. Дело должно идти быстро. Компьютер автоматически проводит самопроверку каждые 20-30 минут. Это время, которое есть у их программы. Если процесс будет длиться дольше, компьютеры автоматически сотрут результаты их попытки. Поэтому они используют интернет и компьютерную технику россовского университета. Их домашняя интернет-связь была бы слишком медленной.

Россов нажимает клавишу Enter и ждет.

На его экране начинают танцевать белые строчки, так быстро, что они расплываются. Каждый компьютер, который они крадут у Богачева, посылает подтверждение, одну строчку текста. Их много, очень много, все идет безумно быстро. В два часа ночи Россов еще раз поверяет систему оповещения; все в порядке; затем он ложится в постель, довольный тем, что все прошло, как запланировано.

На следующее утро он просыпается рано. Хакеры все еще не отреагировали. Проходят выходные, первая неделя, вторая. Россов удивлен. Они задали Богачеву сложную задачу. Он потерял контроль над компьютерами, чьих владельцев он грабил, некоторых по нескольку раз. Добыча уходит от него. Кроме того, он закупил компоненты для своего оружия, чтобы заражать чужие компьютеры и считывать данные счетов. Теперь ему нужен новый материал.

Сети «Р2Р», хостинг Bulletproof и синкхолинг

Через три недели после атаки кто-то парализует интернет-доступ в университете Россова. Это контратака Богачева, Россов ожидал ее, он прекращает свои атаки. Теперь он знает, что Богачев и его вредоносная программа не являются неуязвимыми. Его прежний успех сделал его уязвимым. Чем больше компьютеров подключено к ботнету, тем сложнее его восстановить, если кто-нибудь запустил в него ошибку. Ничего другого он, Россов, и не делал.

В течение нескольких дней Богачев и его люди выпустили добрую дюжину обновлений. Появилась пара новых функций. Но слабое место их программы для них, похоже, осталось неизвестным. Это значит, что Россов и его коллеги могут еще раз напасть на хакеров. Так или иначе, на сей раз им нужно более эффективное оружие, более хитрый код, более мощные процессоры и больше мощности серверов.

В августе 2012 года Россов просит свою подругу переехать к родителям. Целую неделю он и оба его коллег переделывают его квартиру в комнату своей молодости. Днями напролет они сидят с ноутбуками, документами и мармеладками за обеденным столом в гостиной, по ночам они на пару часов расстилают на полу свои матрасы. Уже с раннего утра, за завтраком они обсуждают сети «Р2Р», хостинг Bulletproof и синкхолинг и продолжают писать свой новый код.

У Богачева были необычные идеи, его код элегантен

Они позвали на помощь двоих специалистов, работающих на фирмы компьютерной безопасности, с которыми они познакомились на конференциях. Один из них, Тильманн Вернер (Tillmann Werner), сидит с ними за столом. Второй, калифорниец, заходит ранним вечером по немецкому времени в скайп. Его зовут Бретт Стоун-Гросс (Brett Stone-Gross), он славится хорошим чутьем при раскрытии преступлений, необычайными техническими способностями и отличными контактами с американскими службами безопасности.  Как выяснилось, он тоже с некоторого времени гоняется за Богачевым.

В конце недели они чувствуют, что готовы для второй атаки. Они нашли четыре фирмы, которые предоставили в их распоряжение несколько серверов. В этот раз у них несколько IP-адресов, а не только университетский адрес, и их как нападающих теперь сложнее опознать. Прежде всего, полагает Россов, их код на этот раз существенно более изящный.

Правда, он считает, что совершенного кода не существует, но хочет достичь как можно большего совершенства. Код — это рукопись, которой программист открывает себя, свое искусство и свою личность. Код, к примеру, выдает, написан ли он тщеславным человеком, его автор может скрыть в нем тайные послания, ссылки на какую-нибудь книгу или композитора.

Для Россова совершенный код элегантен, лишен украшений, он позволяет сложное видеть простым. Код Богачева элегантен. У него, как выдает его рукопись, были необычные идеи, и, несмотря на это, он отказался от всего лишнего. Однако Россов полагает, что им все же есть что ему противопоставить.

Обвинение против slavik«, «lucky12345″ и «Pollingsoon«

Примерно в это же время на севере США, почти в 8000 километров, суд обвиняет человека, который скрывается за никами «slavik», «lucky12345» и «Pollingsoon». Обвинение, помимо прочего, обвиняет его в вымогательстве, банковских аферах и нарушении различных связанных с использованием компьютеров законом.

В один из пятничных вечеров сентября 2012 года Россов и его помощники предпринимают вторую атаку. Все проходит примерно как в прошлый раз. Наступает полночь, час ночи, два часа. Проходит суббота, первая неделя, вторая. Они освобождают 90% компьютеров из грабительской сети Богачева. В конце второй недели они замечают, что хакеры многократно переделали своего трояна. Но свое слабое место они все еще не ликвидировали.

У Россова, собственно, есть все, что ему нужно. Он хотел узнать, как функционирует программа и почему она столь успешна. Теперь он это знает. Он победил трояна, который считался непобедимым, дважды, и это служит доказательством. Теперь ему было бы просто сесть писать диссертацию.

Велики шансы, что он будет первым ученым, действительно описавшим «Gameover Zeus». С другой стороны, думает Россов, такой случай у ученого представляется лишь раз в жизни. Кроме того, множество людей каждый день теряют из-за трояна много денег.

Выступление на конференции IEEE в Сан-Франциско

Месяцы спустя, в мае 2013 года, Россов стоит на первом этаже мощного бетонного блока, в центре Сан-Франциско, в комнате без окон, в которой так же прохладно, как и в его лаборатории вирусов. Он приглашен выступать на IEEE Security and Privacy, возможно, самой значительной конференции в мире по вопросам компьютерной безопасности.

Лучшие ученые, детективы, следователи собираются здесь раз в году. Россов жмурится в ярком свете ламп, все места в зале заняты. Должно быть, здесь 500 человек, хотящих услышать, что он и его партнеры выяснили про «Gameover Zeus». Впервые об этом  узнает широкая общественность.

Для Россова это, кроме того, момент, в который игра становится опасной, ибо он переносит борьбу из виртуального мира в мир реальный. До сих пор он для Богачева был фантомом, кем-то, кто получил доступ к университетскому серверу и, очевидно, понимал что-то в ботнетах.

Но отныне он немецкий ученый, человек с именем и лицом, которого можно найти, если захотеть, и который знает, что Firewall дает больше защиты, чем стены собственного дома. Россов старается отогнать эту мысль. Он утешает себя тем, что между тем и другие предпринимали попытки раскрыть сеть, и он, Россов, всего лишь часть этой группы.

Агент ФБР идет на контакт

Едва он вернулся в Германию, ему пишет мейл Бретт Стоун-Гросс, американец из его группы. Некто по имени Эллиот Петерсон (Elliott Peterson), специальный агент ФБР, бывший моряк, слышал доклад Россова в Сан-Франциско и дал о себе знать. «Возможно, ему нужна наша помощь», — пишет Стоун-Гросс.

Уже при первой видеоконференции с этим человеком у Россова появляется чувство, что дело еще более значительное, чем он думал. Петерсон — большой, мускулистый и ироничный — не похож на одного из свирепых молчунов, знакомых Россову по американским фильмам про агентов. Его вопросы и намеки выдают, что он уже долго гоняется за Богачевым и давно сотрудничает с международной армией следователей и фирм безопасности.

«Мы ищем путь, — говорит Петерсон, — как на долгое время отнять у хакеров этот ботнет. Вам это удастся?» Что бы им ни понадобилось, он постарается сделать это возможным. Возможным будет многое, ибо этот случай невероятно важен для Соединенных Штатов Америки.

На этот раз группа Россова встречается в отремонтированном старом здании в Бонне. Неделя матрасов на полу, неделю пицца из службы доставки. Между тем Богачев существенно осложнил им задачу. Он перепрограммировал своего трояна так, что код теперь практически нельзя изменить.

1000 новых имен доменов в неделю

Кроме того, он затеял гигантскую игру в наперстки. Его троян каждую неделю генерирует 1000 новых имен доменов. Это значит, чтобы все удалось, им придется попотеть. Они все зависят от помощи фирм, управляющих доменами. Им нужно вести с ними переговоры, чтобы те заблокировали адреса.

Но теперь они знают, что им делать. Они советуются, пробуют, пишут новый код. По крайней мере, раз в день звонит Петерсон и интересуется, как идет дело. Если им что-то нужно, он это достает, деньги роли не играют. Но когда они уже готовы для презентации, Петерсон начинает звонить все реже. Иногда он не звонит по нескольку дней, затем по нескольку недель или даже месяцы. Россов нервничает. Последнее обновление Богачеву весьма удалось. Что, если он еще больше усовершенствует своего трояна, если найдет ошибку и устранит ее? Это может случиться в любой день.

Может быть, думает Россов, у них скоро вообще не будет шансов его остановить.

31 мая 2014 года, спустя два с половиной года после того, как Россов в своей секретной лаборатории заметил трояна «Gameover Zeus» и год спустя после того, как агент ФБР Петерсон обратился к нему за помощью, Тильманн Вернер и Бретт Стоун-Гросс, знакомые Россова, открывают в пустом конференц-зале в Питтсбурге свои ноутбуки. На столе перед ними два больших монитора, за ними дюжина сотрудников ФБР и высокопоставленных юристов США.

В Национальном центре кибербезопасности США

Петерсон в тот день работал как одержимый. Через мгновения эти двое парней, немец и американец, начнут уничтожение ботнета Богачева. Для этого он и привез их сюда, в зеленое здание в центре города, в Национальный центр кибербезопасности США.

И пока их программа все глубже проникает в богачевскую сеть и разрушает его оружие, в Канаде, Германии, Франции и Англии, прежде всего, в России и на Украине, десятки следователей будут обыскивать дома и квартиры и задержат десять человек, помогавших Богачеву в его грабежах в киберпространстве. Это план Петерсона.

Идет девятый час этого пятничного утра, когда Стоун-Гросс и Вернер нажимают клавишу Enter. Где-то семью часами позже звонит мобильный Россова. В Германии вечер, почти девять, когда объявляется Вернер. Россов сидит на деревянной скамье перед летним домиком на острове Рюген и читает книгу. Он с подругой уехал в отпуск.

Когда решалось, кто полетит в Питтсбург, Россов размышлял. Он напал на след Богачева, преследовал его, выяснил его качества, составил представление о нем. Сейчас, когда все подошло к реализации плана и он мог бы довести дело до конца, ему вместо этого захотелось в отпуск. Он много поработал и еще несколько месяцев назад пообещал подруге провести время вместе. Через три недели они должны пожениться.

Поиск ошибки в коде

Кроме того, он всегда предпочитал одиночество, когда работал над чем-то важным. Его нервировало, если кто-то стоял у него за спиной, как будто наблюдая за его действиями. Если приходилось тяжело, ничто не должно было его отвлекать. Помимо этого, для него не играло роли, был ли он в Гельзенкирхене или Динслакене, в Бонне или Питтсбурге. Борьба против Богачева происходила не в каком-то определенном месте, а в киберпространстве. Все, что ему было нужно, это ноутбук и выход в интернет.

Что-то не так, говорит Вернер.

Их программа очень медленно разворачивается в ботнете Богачева. Так Богачеву не составит труда продолжать управлять всеми чужими компьютерами. Они все проверили, многое испробовали. Дело, должно быть, в их коде. Его они тоже проверяли, снова и снова, но не нашли ошибки. Все теперь зависит от Россова. Если он не найдет решения, то, чего доброго, провалится одно из самых затратных расследований в мире за долгие годы.

Россов идет в дом и вынимает из рюкзака ноутбук, но интернет вдруг перестает работать. Он на велосипеде едет в соседний населенный пункт и ищет отель, в котором есть интернет. В холле он падает на диван, ставит компьютер на столик и запускает обе программы, которые он использовал при прошлых двух атаках.

Вице-министр юстиции США Джеймс Коул (James Cole) заявляет об успехе

Затем он сидит в полутьме, молодой человек в удобной одежде, получеловек, полупризрак. Экран освещает его лицо голубоватым светом. Россов кликает черное окно и ищет место своего кода, в котором он предполагает ошибку, затем он начинает переписывать код. С этого момента он перестает замечать все вокруг.

Когда он готов, он жмет клавишу Enter и видит, как их программа начинает пожирать ботнет Богачева.

Три дня спустя в Вашингтоне перед прессой выступает пожилой господин с узким лицом, уложенной прической и густыми усами. За ним два флага, звездно-полосатый и с Американским орлом. Джеймс Коул (James Cole), заместитель министра юстиции США, должен объявить о сенсации. США, говорит Коул, с помощью международной группы розыска положили конец творению одного из самых прожженных кибермошенников в мире.

Евгений Богачев «создал сложнейшую систему компьютерных вирусов, с которой мы когда-либо сталкивались». Вместе с российскими и украинскими сообщниками он заразил свыше миллиона компьютеров, среди которых и серверы банков США. Коул говорит, что суд США обвиняет Богачева в интернет-и банковских аферах, в шантаже, краже данных и отмывании денег.

Россов опасается мести Богачева

Во второй половине дня Россов созванивается с Вернером и просит его еще раз спокойно рассказать, как все прошло. Когда он кладет трубку, он полагает, что история для него закончилась. Но история за прошедшие месяцы начала жить своей жизнью.

Поэтому Россов, спустя пять лет после того, как все началось, сидит  дома, в гостиной и даже не знает, что теперь обо всем этом думать. У него есть все основания гордиться собой. Ему удалось нечто невероятное. ФБР вручило ему грамоту в синей пластиковой папке, она стоит раскрытой на полке в офисе университета.

Он, едва закончив учебу, получил исследовательскую группу в университете, его лекции хорошо посещаются. Крупные компьютерные фирмы приглашают его читать доклады, — в Ниццу, в Кремниевую Долину. Но он все еще вздрагивает, когда стоит перед большой аудиторией и слышит, как объявляют его имя. Он мерялся силами не с каким-то хакером, а с преступником, от которого всего можно ожидать. Он опасается, что Богачев будет мстить. Кроме того, еще то дело со шпионажем.

Россов и его коллеги, хорошо укрывшись в богачевском ботнете, нашли целый ряд поисковых команд, которые «электронным» грабителям банков не нужны и которые в их вредоносных программах обычно не находят.

Шпионаж против Грузии, Украины, Сирии и Турции

Кто-то собрал там данные о Грузии и Украине, все очень актуальное. Эти запросы выдают, что кто-то посягал на правительственные документы под грифом «Секретно» и был нацелен на некоторых сотрудников зарубежных спецслужб.

Это указывает на российские интересы. Ибо едва ли эти страны интересовали кого-нибудь больше, чем президента России Путина. Он провел войну с Грузией, отношения все еще оставались напряженными. В Сирии диктатор Башар Асад (Baschar al-Assad) велел бомбить собственный народ, Путин встал на его сторону, Турция — на сторону Европы и США. Путин вел войну и на Украине.

Данные, которые собрала программа Богачева, позволяют, таким образом, сделать вывод, что шпион угнездился в богачевском ботнете; чего доброго, даже по поручению российского правительства. За это говорит и качество его кибероружия.

«Ну, на мой взгляд, здесь следует быть осторожным», — говорит Россов. В сети много возможностей замаскироваться и пустить преследователей по ложному следу.

Награда за поимку — три миллиона долларов

Однако американские следственные органы, как и агент ФБР Петерсон, говорят о шпионаже и о том, что за поиском секретной информации стоит Богачев. Поэтому летом 2014 года США потребовали от России выдать Богачева. Напрасно, поскольку между странами нет соглашения о выдаче. В феврале 2015 года ФБР объявило Богачева в розыск, с наградой за поимку в три миллиона долларов. Это максимальная награда, которую власти США когда-либо объявляли за поимку киберпреступника.

Многое указывает на то, что Богачев до сих пор пребывает в России, в Анапе, курортном месте на побережье Черного моря с населением 60 тысяч жителей. У него там официальное место жительства, квартира в многоэтажном доме, всего в паре сотен метров от отделения полиции. Его соседи говорят, он постоянно появлялся там.

Им он нравится. Они рассказывают, насколько он обходителен, и что он ездит на старом «вольво» с наклейкой на крыле, которая рекламирует ремонт компьютеров. Также говорят, что его время от времени видели в море у самого берега, на его яхте. Так рассказывали соседи российской и английской газетам. Не похоже, чтобы Богачев особенно пытался спрятаться. Еще и поэтому следователи в США и Европе считают возможным, что его покрывает правительство Путина.

Как будто США и Россия вернулись к Холодной войне

Это всего лишь предположение, но оно существует и распространяется в мире, как компьютерный вирус. Эллиот Петерсон, охотник за Богачевым, представил эту версию общественности пару месяцев назад. На конференции по кибербезопасности в Лас-Вегасе он представил объемный отчет, повествующий об охоте на Богачева. Многое указывает на то, что «Gameover Zeus» с самого начала использовался для шпионажа, пишет он. В послесловии он выражает благодарность Россову.

Россов кривится в гримасе, когда кто-нибудь заговаривает с ним об этом. Ему порой кажется, что мир объят пламенем. Как будто США и Россия вернулись к Холодной войне. Он опасается, что в какой-то момент будет достаточно небольшого повода для развязывания эскалации. Шпионаж, дипломатические хитросплетения, кибервойна. Дело стало для него слишком большим.

Он программист. Он хотел выяснить что-то, сделать что-то правильное. Но кажется, что это больше никого не интересует.

Марк Неллер (Marc Neller)
Источник

Понравился материал?
Присоединяйтесь к нам в социальных сетях:

Интернет-газета КОНТИНЕНТ на Facebook Интернет-газета КОНТИНЕНТ ВКонтакте Интернет-газета КОНТИНЕНТ в Одноклассниках
Яндекс.Метрика