28 декабря 2017
845
Хакер Константин Козловский, арестованный по обвинению в хищении из банков 1,2 млрд рублей, уверяет, что к вирусам Lurk и WannaCry причастны те же работники российских спецслужб, что и ко влому серверов Демократической партии США. Об участии ФСБ в создании вирусов он рассказал в письменном интервью телеканалу "Дождь".
В 2016 году по делу о хищении вместе с Константином Козловским было задержано несколько десятков человек. В августе 2017 года в ходе судебного заседания он взял на себя ответственность за взлом комитета Демократической партии США по заказу сотрудников ФСБ. Это следует из протокола и аудиозаписи судебного заседания, опубликованных на странице Козловского в фейсбуке. Интернет-издание The Bell подтвердило подлинность этих документов.
По словам Козловского, его и других хакеров курировал майор ФСБ Дмитрий Докучаев, который в декабре 2016 года был арестован по делу о госизмене. Кроме Докучаева тогда были арестованы его начальник — замруководителя центра информационной безопасности (ЦИБ) ФСБ Сергей Михайлов, сотрудник «Лаборатории Касперского» Руслан Стоянов и бывший сотрудник ФСБ Георгий Фомченков. Их подозревают в передаче американским спецслужбам данных о российских хакерах, сообщало агентство "Руспрес". (Адвокат одного из фигурантов дела Иван Павлов не подтверждал информацию о том, что обвиняемые передавали американским спецслужбам данные о российских хакерах).
Сам Докучаев отвергает, что знаком с Козловским.
Телеканал вступил в переписку с Константином Козловским. Он признался, что его сотрудничество с ФСБ не ограничилось кибератаками на США.
— Все сообщения западных СМИ о русских хакерах — это все я. А Lurk — это только 10% от всей моей деятельности.
— Как вы можете доказать, что участвовали во взломе Национального комитета Демократической партии США?
— На вебсервере во внутренней сети Демпартии я оставил .dat-файл с номером моей визы на остров Сен-Мартен и номером паспорта. Решил там оставить все это просто на уровне чуйки. Если Штаты сделали снапштоты, можете проверить. Или в бэкапах за сентябрь 2015 года этот файл должен быть. Это основное доказательство, которое я могу предоставить из застенка.
— Участвовал ли еще кто-нибудь из организованной вами группировки Lurk во взломе серверов Демпартии и Клинтон?
— Никто не участвовал, так как все, кого арестовали, занимались разработками, пребывая в неведении, на кого и зачем они работают.
Специфика работы так называемого Lurk и его модификаций, а также другого созданного мною софта такова, что и Докучаев, и те, кому он дал доступ, могли самостоятельно вести работу с зараженными объектами.
Проще сказать, что мы не взломали, а создали продукт, который без прикрас взломал всю Россию. Большой вопрос, зачем лично Докучаеву это было нужно. Лично для меня это были обкатка и тестирование.
Конечно, это смешно, когда для «обкатки» продуктов используется «Роснефть», «Газпром», «Лукойл», «Сбербанк», но это было именно так. Отдавал ли Докучаев добытые при этих взломах сведения за границу, я не знаю.
27 июня 2017 год, когда ко мне в СИЗО приходил сотрудник Управления службы безопасности ФСБ, я ему рассказал в том числе про «Роснефть».
— Какие еще продукты вы создавали по заказу спецслужб?
- WannaCry — это вирус, который написали мы.
Когда я смотрел телевизионный сюжет, где рассказывали о WannaCry, я увидел до боли похожий мне локер [программа-вымогатель]. «Морду» этого вируса делали люди из моей группы. «Морда» — то что, отображается на компьютере в момент блокировки. <...>
— Чем докажете свои слова о том, что именно ваша группа разработала WannaCry? Специалисты говорят, что сигнатуры вирусного кода совпадают с сигнатурой кода, использовавшегося хакерской группой Lazarus Group (предположительно Северная Корея).
— «Обкатка» WannaCry прошла в компании «Самолет Девелопмент». Но важнее даже то, что мы изобрели специфику распространения вируса: заразить один компьютер в корпоративной сети, поднять привилегии, получить доступ к домену администратора и одной кнопкой остановить деятельность компании любого размера.
Идея одновременного заражения через домены Windows — то есть остановка всех машин предприятия или организации — принадлежит мне. Она должна была «обкатываться» на предприятии «Новолипецкий металлургический комбинат», мы бы попробовали остановить там доменные печи. Сейчас пишу и как-то жутковато.
— Кто еще вместе с вами участвовал во взломе? Разыскиваемый в США россиянин Евгений Богачев? Человек, скрывающийся за никнеймом Guccifer 2.0?
— Я не знаю этого человека, как и всех тех, кого обвиняют в Штатах во взломах из России. Знаком мельком с Никулиным (россиянин Евгений Никулин, подозреваемый во взломе Linkedin, Dropbox и Formspring), познакомились летом 2013 года по автомобильной тематике.
— Как вы начали сотрудничать со спецслужбами?
— 2 апреля 2006 года у меня дома были обыски по мошенничеству, тогда ничего не нашли, а дело замяли. В то время я уже общался с Докучаевым — наше знакомство состоялось на фоне обсуждения взломанного мной Министерства энергетики США, а также поставок «карженной» (купленной по краденным или взломанным кредитным картам) техники из-за границы. Дима тогда еще не был агентом, зато уже уяснил тонкости моей биографии, из-за чего и получилась вся история.
[В 2008] мне дали выбор: [сотрудничество] или они сообщат за границу спецслужбам о моих делах с Amazon и о «карженной» технике. Дима знал, что мне очень нравится путешествовать. И так я стал работать на них, в принципе не отказывая себе в поездках за границу.
Образ жизни я вел довольно скрытный, практически нет фотографий, мобильным телефоном практически не пользовался. Встречался с Докучаевым во время беспорядков на Манежной площади и во время митинга против ареста Навального в лобби гостиницы Ritz Carlton, зарегистрирован в отеле был на свое имя. Также встречался с Докучаевым 24 января 2011 года в аэропорту Домодедово — за 5-10 часов до теракта в зале прилета международных авиалиний.
— Вы отрицаете предъявленные вам обвинения в кибермошенничестве?
— Я не отрицаю того, что мне вменяют, за исключением хищений с корсчетов банка «Таатта», «Металлинвестбанка» и «Грант Инвест Банка».
Да, мои структуры по обналу обналичивали средства оттуда. Однако технически хищения осуществляли Докучаев и компания. Для нагнетания хакерской истерии и выпиливания средства из бюджета, для создания «ФинЦЕРТ» (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) и ему подобных. Работа по юридическим лицам была изначально поставлена сотрудниками ЦИБ ФСБ для материальной подпитки моих проектов. Разрешено было похищать средства для разработки программ, ну и делиться.
— Как вы объясняете свой арест по делу Lurk?
— Видимо, в определенный момент что-то не так пошло внутри самой спецслужбы, из-за этого все и порушилось. Для меня загадка, кто принял это решение, так как они лишаются стратегических разработок ради сиюминутного пиара для «Лаборатории Касперского» (выступала экспертом по делу Lurk) и спецслужб, ради нескольких звездочек. А украденные у меня программы стареют с каждым днем.
[Своими действиями] они усиливают отток мозгов из страны, так как никто теперь не захочет им доверять.
— Большой вопрос по цифровым уликам. Вы пишете, например, что взламывали Министерство энергетики США, сервера Демократической партии — осталась ли у вас дома та машина, с которой вы осуществляли эти взломы?
— Наше задержание — как раз чтобы скрыть цифровые улики. Экспертизы по моим компьютерам не проводились. Назад их мне не отдают. В экспертизе от «Лаборатории Касперского» такая формулировка: «Не удается провести экспертизу в связи с тем, что нужен пароль». Хотя летом я передал пароли Жукову – сотруднику, сопровождающему дело Докучаева. После чего он пропал.
Комментарии упомянутых Козловским компаний
«Лаборатория Касперского» отказалась предоставить комментарий, но дала ссылки на «на работу сторонних экспертов о WannaCry». Исследования компаний Symantec и FireEye предоставляют косвенные доказательства того, что хакеры, стоящие за распространение WannaCry, могут оказаться группировкой из Северной Кореи.
Представитель «Самолет Девелопмент» ответил, что в компании «создана и внедрена система информационной безопасности с использованием средств защиты информации, сертифицированных ФСБ России и ФСТЭК России». В 2015 году компания действительно пережила атаку, по итогам которой 90% ущерба было восстановлено в течение одного дня и 100% — в течение трех дней, сообщили в пресс-службе. «За 2016 и 2017 годы все подобные инциденты были своевременно выявлены и локализованы благодаря вышеуказанным средствам защиты, а также оперативным действиям сотрудников управления информационной безопасности», — добавили в пресс-службе.
