История украинского хакера, который стал лучшим оружием ФБР и худшим его кошмаром.
Издание Wired поведало занимательную историю украинского хакера Максима Попова, который вынужденно сотрудничал с ФБР и считался одним из его лучших специалистов, подружился с приставленным к нему агентом, а в результате обманул всех, вернулся на родину и стал успешным бизнеcменом в сфере кибербезопасности. Предлагаем вниманию читателей адаптированный перевод текста, опубликованный интернет-изданием Аpparat.
Одним январским днем 2001 года 20-летний украинец Максим Игоревич Попов взволнованно вошёл в здание посольства США в Лондоне. Его было легко спутать со студентом по обмену, который подает документы на визу. На самом деле Попов был хакером, членом группировки из Восточной Европы. Она атаковала американские компании, занималась вымогательством и мошенничеством. Волна таких атак стала подобием новой «холодной войны» между США и организованной преступностью в постсоветских странах. И Попов собирался стать её первым перебежчиком.
За несколько предыдущих месяцев Попову наконец удалось договориться с ФБР о переезде в США. Он всегда мечтал быть вовлечённым в крупные международные дела. Теперь Максим наконец получит желаемое — будет за хорошие деньги продавать американским властям свои познания в сфере компьютерной безопасности, а затем откроет свое дело и разбогатеет.
Но планы не сложились. Как только Попов прибыл в США, его задержали и под угрозой тюрьмы вынудили работать информатором ФБР, сдавая своих бывших партнёров. Впрочем, хакер незаметно от властей предупредил о расследовании тех друзей, которых должен был завести в ловушку. Когда ФБР узнало об этом, от многолетнего заключения Попова спасло лишь вмешательство агента Эрнеста Гилберта.
Многообещающий сотрудник ФБР из захолустья Калифорнии, в юности он сам занимался безобидным хакерством. Теперь Гилберт расследовал в Бюро киберпреступления. Именно он как никто лучше понимал, что Попов нужен властям. США в то время переживали решающий момент в киберпреступности. В начале нулевых появились первые признаки превращения хакерства из развлечения в прибыльное дело.
В 2001 украинские и российские хакеры запустили сайт CarderPlanet, благодаря которому преступники получили возможность продавать и покупать огромные базы украденной банковской информации, в том числе и кредитных карт — всё это на одном ресурсе. И именно Попов мог помочь Гилберту в борьбе с поднимающей голову киберпреступностью.
Максим Попов вырос в Житомире в 90-ых годах. Он рано научился работать с компьютерами, а с 15 лет был активен в интернете. Под влиянием киберпанка и фильма «Хакеры» Максим с юности хотел зарабатывать деньги на незаконном хакерстве. Его самой сильной стороной были даже не технические навыки, а талант манипулировать людьми и отличный английский.
Свои первые деньги он заработал «обналичиванием» ворованных номеров кредиток, делая по телефону заказы в американских компаниях. Спустя год эти компании перестали доверять адресам из Восточной Европы, схема исчерпала себя. Тогда Максим начал заниматься вымогательством. Он взламывал компании, получал их данные и требовал деньги за то, чтобы не публиковать украденную информацию.
По такому принципу летом 2000 года команда Попова попыталась получить большие суммы от компаний E-Money и Western Union. Но безуспешно: первая обратилась в ФБР, а вторая публично объявила об утечке. Кроме того, к Попову стали проявлять повышенный интерес местные бандиты. Не видя никаких перспектив в Житомире, Максим решил сообщить о себе американской полиции, чтобы таким образом переехать в США.
Теперь он застрял в тюрьме неподалеку от офиса Western Union в Сент-Луисе — но лишь до того момента, как стал нужен агенту Гилберту. Тот понимал, что родной русский и хакерские навыки дадут Попову возможность эффективно работать с подпольными чатами и форумами и находить для ФБР важные улики и информацию. Максим согласился заключить сделку с властями и работать на Бюро в обмен на сокращение срока заключения. Теперь от него требовали сдавать не друзей, а совершенно незнакомых людей.
Попову предоставили комнату для работы днем — ночи он проводил за решеткой. Эту операцию назвали Ant City («Город муравьев»). Максим должен был мониторить секретные хакерские чаты, изъявляя интерес к покупке ворованных кредиток. Одной из первых жертв операции стал украинский программист под ником Script: он продал Попову небольшую партию кредиток, совершив тем самым преступление в юрисдикции США. Это убедило украинскую сторону арестовать Script, хотя через полгода его выпустили. Тратя предоставленные ФБР небольшие деньги на покупку кредитных карт, Попов получал данные и других хакеров.
Сообщение хакера Script на форуме Carderplanet. Ныне Дмитрий Голубов (его настоящее имя) - народный депутат Украины, избранный по округу в г. Одесса - прим. Apparat
Гилберт и Попов хорошо сработались, даже сдружились. Однажды на День благодарения агент ФБР подготовил сюрприз для хакера. Он организовал совместный просмотр фильма «Властелин колец: Братство кольца» и праздничный ужин. Гилберт провел часть праздника с Поповым, а не со своей семьей. Максим был тронут.
В феврале 2003 года случился крупный взлом процессинговой компании Data Processing International. Была похищена информация о восьми миллионах карт. Попов поспрашивал о взломе в своих чатах. Один россиянин под ником RES сказал, что знает взломщиков, и потребовал $200 000 за данные всех карт, но отказался продать для начала небольшую выборку. Тогда Гилберт договорился с одним банком — тот предоставил $200 000 наличными. Попов записал видео на фоне этой кипы банкнот, чтобы подтвердить серьезность своих намерений.
Этого ролика для продавца было достаточно. Идентифицировать его было даже проще. Попов создал сайт выдуманной компании HermesPlast и посоветовал RES податься туда на работу. Ничего не подозревая, россиянин в тот же день отправил свое резюме и скан паспорта. Попову удалось провернуть это, потому что он понимал важную вещь о хакерах из Восточной Европы: все, что им нужно — это хорошая работа.
В апреле [2003 года], после восьми месяцев работы Ant City, Попов вышел из тюрьмы. Его приговорили к еще трем годам судебного надзора. Гилберт помог ему снять квартиру и организовал небольшое жалование, чтобы Максим продолжал работу над Ant City. Но Попов не смог приспособиться к такой жизни. Он получил в суде разрешение на короткое посещение Украины с обязательством возвратиться и прожить в США до окончания надзора. Но Гилберт прекрасно понимал, что Попов уже не вернется.
Ant City была закрыта. По подсчетам Гилберта, она вернула с черного рынка где-то 400 000 кредиток и предупредила о взломе более 700 компаний. Десятерым хакерам из Восточной Европы выдвинули обвинения, но никого так и не экстрадировали в США.
На Украине Попов открыл свою компанию по кибербезопасности Cybercrime Monitoring Systems (или Cycmos). Она находила информацию о взломах и продавала ее затронутым компаниям. Попов оставался на связи с Гилбертом и помогал ему по старой дружбе.
В конце года Попов позвонил агенту и сообщил о большом взломе, жертвой которого была ФБР. Российские хакеры получили доступ к дата-центру AT&T в Нью-Джерси, в котором находились почтовые серверы многих правительственных учреждений — и ФБР в том числе. Это обеспечило взломщикам доступ ко всем ящикам из домена FBI.gov.
Гилберт договорился, что ФБР заплатит Cycmos $10 000 за помощь в расследовании дела. Сначала фирма Попова предоставила Бюро два документа, полученные из почтовых ящиков ФБР, а затем и нашла взломщиков. Их руководителем оказался петербуржский студент Леонид Соколов. Он признался Гилберту во взломе AT&T и ФБР. Это был самый большой успех за всю карьеру агента.
Агенты ФБР за работой. Фото: AP Photo/Louis Lanzano
Но затем что-то пошло не так. В феврале 2005 года Гилберта вызвали в главный офис ФБР в Вашингтоне. Оказалось, что та же группировка взломала и другие компании — а Попов предлагал им свою помощь. Одной из потерпевших компаний была EMC. Используя псевдоним «Денис Пинхаус», Попов с ней связался и предложил за хорошие деньги предотвратить публикацию украденного хакерами кода и предоставить подробную информацию об утечке. Попов указал имя Гилберта как агента ФБР, который может поручиться за него.
EMC посчитала это вымогательством и обратилась в прокуратору. Теперь прокурор требовал от Гилберта раскрыть настоящее имя Пинхауса, но агент наотрез отказался это сделать. После этого Гилберт сразу написал Попову, чтобы тот держался подальше от EMC.
На некоторое время это дело забылось. Гилберт вернулся к расследованию дела AT&T. Американский суд приговорил Леонида Соколова к аресту — лишь заочно, потому что Россия не проводила экстрадицию в США. ФБР выразило благодарность Попову и заплатило за работу.
Однако через несколько месяцев Гилберту внезапно приказали прекратить общение с Поповым и передать все логи их онлайн-переписки. Вскоре агента перевели из отдела по борьбе с киберпреступностью в антитеррористический. Через некоторое время Гилберт обнаружил, что по нему ведется расследование. Его подозревали в сговоре, мошенничестве и утечке конфиденциальной информации — основой послужило как раз то предупреждение Попову об EMC. Это положило бы конец карьерному продвижению Гилберта, поэтому ему пришлось бросить работу мечты и уйти в частный сектор. Даже после этого расследование некоторое время продолжалось, но затем его закрыли.
Как рассказал автору статьи в Wired сам Гилберт, через несколько лет после всех этих событий ему внезапно позвонил Попов. Это не был деловой разговор — украинец просто решил поблагодарить бывшего агента за их сотрудничество. Максим сказал, что создал семью, нашел хорошую работу — и всем этим он обязан Гилберту.
Попов сначала рассказывал то же самое, но со временем изменил свою версию. Когда хакер позвонил Гилберту, он уже урегулировал свои проблемы с EMC. Оказалось, что помимо обращения в прокуратуру компания тайно заключила сделку с Поповым. Она заплатила $30 000 сразу и пообещала еще $40 000, если похищенный код не будет опубликован в течение четырех лет. Попов выполнил свою часть договора, но EMC отказалась платить. Чтобы отомстить, в 2012 году Максим опубликовал часть исходников. Несмотря на то, что прошло уже почти восемь лет, они все еще были отчасти актуальны.
Это не было похоже на поведение обычного консультанта по безопасности. Стало очевидно: взлом EMC и почты ФБР осуществили не какие-то российские хакеры, а именно Попов. Он сам признал это в разговоре с Wired. Попов и работавший с ним Соколов взломали дата-центр AT&T и предложили компании $150 000, чтобы предотвратить утечку. Но в AT&T отказались, и лишь тогда Попов позвонил Гилберту. Чтобы соблюсти сделку, частью которой было нахождение злоумышленников, и получить свои 10 тысяч, Попов убедил Соколова признаться во взломе Гилберту. Попов предполагает, что Гилберт о чем-то догадывался, но не знает наверняка. Автору статьи Wired так и не удалось это выяснить, потому что бывший агент перестал выходить с ним на связь. Попов не раскаивается во взломе ФБР, но считает Гилберта своим единственным другом. На напоминание о том, что Максим вообще-то разрушил его карьеру, он отвечает: «Я по-прежнему люблю его… Я все еще киберпреступник, я никогда не был другим. Но какая разница? Я по-прежнему люблю его».
Со времен Ant City восточноевропейская киберпреступность значительно продвинулась вперед. Как всегда во главе стоит масштабируемость: российский хакер не просто крадет немного денег со взломанного банковского счета. Он пишет программу, которая делает это автоматически, и продает ее по несколько тысяч долларов за копию. Ant City была первой попыткой нарушить этот порядок дел, но далеко не последней. Впрочем, хакерское подполье Восточной Европы остается отчасти таким же, как и 15 лет назад: эти люди просто ищут хорошо оплачиваемую работу.
Фото: FBI