Ручные хакеры, экстравагантные миллионеры

12 декабря 2019

1624

Ручные хакеры, экстравагантные миллионеры

Как Evil Corp — самая могущественная хакерская группировка в мире — связана с российскими силовиками

5 декабря США  официальные обвинения против российской хакерской группировки Evil Corp. Ее  «самой вредоносной в мире»: ущерб от атак Evil Corp против банков оценивается в сотни миллионов долларов. Организатором группировки американский Минюст считает Максима Якубца — он остается на свободе и в марте 2019 года еще активно участвовал в хакерской деятельности.

Корреспондент отдела расследований Лилия Яппарова выяснила, что Evil Corp состоит из родственников чиновников и силовиков — и рассказывает, как живет близкий к российским  хакер Максим Якубец, за чью голову  награда в пять миллионов долларов.

В июле 2009 года хакерскую группировку, участником которой был Максим Якубец, начали одолевать коллеги. «Ну, поздравляю! ********* (сойти с ума) можно, про тебя в новостях пишут», — звучало одно из сообщений в чате группы (позднее его  ФБР).

Незадолго до этого в The Washington Post  статья о «киберпреступниках из Украины, которые украли 415 тысяч долларов из казны округа Буллитт штата Кентукки». Хакеров, скорее, шокировала эта публикация: они не ожидали, что к ним придет мировая известность — хотя некоторым из них эта слава польстила. Однако 22-летний Максим Якубец — под ником aqua — отреагировал максимально жестко: «Они описали всю схему! Ублюдки. <…> Реально бесит».

Десять лет спустя Якубец сам возглавил группу хакеров, которую назвал Evil Corp, начал воровать с помощью нового банковского трояна — и ездить по Москве на суперкаре Lamborghini Huracan. Москвичи в своих телефонных книжках называют Якубца «Мистер прокурор»; за информацию, которая приведет к аресту россиянина, США готовы заплатить пять миллионов долларов — это самая большая награда, которую когда-либо назначали за помощь в поимке киберпреступника.

В американском Минюсте действия Якубца  «столь дерзкими и изощренными, что, не будь они реальны, их трудно было бы даже вообразить».

Помимо кражи банковских данных Якубец занимался и взломами по заказу российских . Минфин США , что с 2017 года хакер работал на ; одним из его заданий было получение доступа к неназванным «конфиденциальным документам».

В российском министерстве иностранных дел эти заявления  «пропагандистской атакой». Источники выяснили, что правы, скорее всего, американцы, а хакерская группа не просто сотрудничает со  — она буквально состоит из родственников российских чиновников и силовиков.

Сажают только для галочки

В состав Evil Corp, по информации американских властей, входит 17 человек из шести стран. Группировка сформировалась около 2011-го, через два года после публикации в The Washington Post об ее предшественнице, в которую входил Максим Якубец.

Российским силовикам Evil Corp известны как люди, к которым можно обращаться, например, по поводу освобождения денег с заблокированных банковских счетов. «Ценник они выкатили совершенно конский, — рассказывает лично знакомый с хакерами ветеран .

— Моих знакомых перуанцев, которые добывают алмазы в Южной Америке, тогда хлопнули за финансирование картеля. Они картелю дань платили, чтобы работать на его территории, и американцы заблокировали им счета за это. Перуанцы обратились ко мне — я их просто знаю давно — и я нашел им этих хохлов, чтобы вытащить замороженные деньги».

Впервые с российскими силовиками Якубец столкнулся еще в 2010 году — в статусе  по американскому делу хакерской группировки Jabber Zeus Crew, заражавшей компьютеры по всему миру  для кражи денег с электронных кошельков и банковских счетов.

Россия тогда помогала в  ФБР, и Якубца  идентифицировать почти сразу: хакер был настолько неосторожен, что использовал для работы тот же адрес электронной почты, через который заказал доставку на дом детской коляски. Агент ФБР, занимавшийся этим делом, в своих показаниях перед судом штата Небраска указывал, что Якубца следует обвинить по двум статьям уголовного кодекса США: «посягательство на совершение преступления» и «мошенничество в банковской сфере». Максимальное наказание по второму — до 30 лет заключения.

Когда 24 ноября 2010 года в московскую квартиру Якубца  с обыском, он был дома. В материалах американского обвинения фигурирует присутствовавшая в той же квартире женщина — первая жена Якубца (у них в 2009-м родился сын). Российские власти, говорится в американском обвинительном заключении по делу Якубца, передали американской стороне найденную при обыске информацию — однако ни о задержании, ни о других следственных действиях в отношении Якубца со стороны российских силовиков в деле ничего не указано.

После этой встречи отношения хакера с силовиками могли развиваться только по одному сценарию, утверждают собеседники. Первые столкновения кибермошенников со  почти никогда не заканчиваются тюрьмой, говорят два собеседника в  и ветеран войск связи. «Если при первичном общении оказывается, что они совсем отмороженные, то такие долго не живут, а все остальные начинают сотрудничать», — рассказывает ветеран , работавший с хакерами. «Сажают действительно редко и только для галочки», — говорит генеральный директор Института исследований интернета Карен Казарян.

принуждает кибермошенников к сотрудничеству еще с конца 1990-х, отмечает ветеран  — такой курс был взят, когда в спецслужбе осознали прибыльность нового типа высокотехнологичных преступлений. «Как только первый безродный студент технологического вуза вывел на улицы Москвы свою Ferrari, так контора и начала этим заниматься. Хотели поставить это дело на контроль, оседлать бизнес, как говорится, — вспоминает собеседник. — Когда мы их находили, ставили работать на отдельных руководителей подразделений. Вот с тех пор все эти ребята и находятся на службе».

Избежать сотрудничества со  в свое время не смогли даже самые неуправляемые киберспециалисты, рассказывает близкий к хакерам собеседник. «Был один хакер совершенно отмороженный: байкер, без пальца на одной руке, однажды даже убил педофила — забил табуреткой прямо в баре, отсидел за это, — вспоминает собеседник. — Но когда они с товарищами квартиру сняли и начали оттуда работать, их очень быстро фейсы вычислили и накрыли. Естественно, сажать никто никого не стал — просто заставили работать на себя».

Максим Якубец — не первый российский киберпреступник, которого за рубежом обвиняют в сотрудничестве с российскими властями.

Топ-менеджер «Лаборатории Касперского» Руслан Стоянов, который  срок за госизмену, , что за выполнение государственных задач хакеров вознаграждают «покровительством»; Стоянов называл такой формат сотрудничества «иммунитетом от возмездия за кражу денег <…> в обмен на разведданные».

В 2017 году у лидера Evil Corp Максима Якубца появились и личные причины начать помогать  — он стал родственником влиятельного силовика.

«Секретка» особой важности

Летом 2016 года атаки Evil Corp на время  последний всплеск рассылки фишинговых писем случился 15 и 16 августа. Остаток месяца Максим Якубец провел в Крыму, на  курорте полуострова. За неделю в Mriya Resort & SPA хакер заплатил больше миллиона рублей. Этот отель на ялтинском побережье с высоты  цветок лотоса, вытянувшийся лепестками к Черному морю; президент   главу Сбербанка Германа Грефа за  на деньги учреждения комплекс.

Якубец в Mriya останавливался не один. Согласно данным о перелетах, оказавшимся в распоряжении издания, вместе с хакером на российские курорты часто летает Алена Бендерская: в 2017-м она вместе с членами Evil Corp провела январские праздники в Сочи; летом того же года Бендерская с Якубцом побывали на Байкале.

Номер в лодж-отеле «Байкальская резиденция» в документах бронирования был описан так: «Комплиментарно для just married».

Издание неизвестно, зарегистрирован ли брак Якубца и Бендерской официально — но масштабную свадебную церемонию они провели, как  «Радио Свобода».

Информацией о том, что летом 2017 года глава Evil Corp сыграл свадьбу, также  британские силовики.

Максим Якубец и Алена Бендерская qdtiqzkiqrxiqukglv

После свадебной церемонии прекратила обновляться вся открытая или полуоткрытая информация не только о Максиме Якубце, но и об остальных членах группировки, обратил внимание бывший оперативник и основатель компании «Интернет-розыск» Игорь Бедеров. Пропадают, например, данные о пересечении ими государственной границы. Это может быть связано с личностью предполагаемой невесты.

Полная тезка Алены Эдуардовны Бендерской состоит в руководстве или является совладельцем семи юридических лиц, три из которых, согласно данным «СПАРК-Интерфакс», связаны с благотворительного фонда «Вымпел», бывшим спецназовцем Эдуардом Бендерским. «Бывший сотрудник, но до сих пор очень влиятельный, очень. У него нефтянка и бизнесов куча. И ЧВК своя на Ближнем Востоке», — рассказывает знакомый с Бендерским ветеран .

Почему Бендерский очень влиятелен?

О влиятельности Бендерского, уволившегося со службы всего лишь в звании старшего лейтенанта, свидетельствует его деятельность как главы «Клуба горных охотников».

Бендерский — не только один из самых публичных представителей трофейной охоты, он практически возглавляет охотничье лобби в России.

До 2013 года Бендерский возглавлял Росохотрыболовсоюз — ассоциацию общественных объединений охотников и рыболовов. В «Клубе горной охоты» также  несколько человек, занимающих государственные должности, и крупные бизнесмены.

Как писали в сентябре 2016 года клуб попросил тогдашнего вице-премьера правительства Александра Хлопонина разрешить отстрел пяти путоранских баранов, входящих в Красную книгу: в ответ на частный запрос охотничьего клуба вице-премьер поручил Минприроды разработать «пилотный проект по взаимодействию» (юрист «Гринписа России» Михаил Крейндлин в разговоре тогда сказал, что впервые сталкивается с ситуацией, когда отстрела животных добиваются на таком высоком уровне).

А когда в декабре 2019 года «Клуб»  развитие спорта для снайперов, инициативу сразу  министр спорта Павел Колобков.

В  Бендерская  на аккаунт «Lamborghini Club Russia»; свой день рождения она отпраздновала «в стиле Dolce&Gabbana», как  гости праздника. В соцсетях Бендерскую, завсегдатая московских вечеринок,  выкладывать совместные фотографии с другими участниками клубной жизни Москвы. «Как разъезжающий по Москве на Lamborghini парень мог познакомиться с дочкой силовика? — рассуждает близкий к  собеседник. — Да просто вся эта тусовка молодежная, где тратится нереальное количество денег, она же очень узкая — и понятно, что в ней крутятся дети генералов».

В год свадьбы Якубец начал  с , а с апреля 2018-го хакер находился в процессе получения лицензии службы на работу со сведениями, составляющими государственную тайну,  американский Минфин. «„Секретка“ хакеру нужна, чтобы искать компромат на наших чиновников, хранящийся за рубежом», — считает близкий к  собеседник. «У Evil Corp основные цели были — лондонские финансовые организации. А в Лондоне наших денег полно. Очевидно, что если они фигачили [хакерские атаки] по различным фондам, то могли много чего нарыть и на наших», — рассуждает Карен Казарян.

Оформление доступа к гостайне должно было окончательно определить отношения хакера с  — и превратить Якубца во внештатного сотрудника, утверждает ветеран . «А если он взламывал иностранные правительственные сайты, то это, конечно, „секретка“ особой важности, то есть контракт о постоянной целенаправленной работе», — утверждает Игорь Бедеров.

Несмотря на связь Evil Corp с силовиками, неприкосновенной группировка не стала — в преследовании хакеров уже на территории России может быть заинтересовано одно из подразделений , считают собеседники. «Управлению „К“ (Служба экономической безопасности ) сейчас нужно нового генерала растить, вроде бы они уже заинтересовались», — рассказывает знакомый с ситуацией ветеран .

В службе экономической безопасности  весной 2019 года действительно появилось пространство для выращивания новых кадров.

В апреле  одного из отделов управления «К» Кирилл Черкалин  по подозрению во взятке. Управление «К» занимается контрразведывательным обеспечением кредитно-финансовой сферы; отдел Черкалина  российский банковский бизнес, а сам Черкалин  в заседаниях межведомственной комиссии по противодействию легализации преступных доходов.

Дело Evil Corp идеально вписывается в профиль работы управления, говорит Карен Казарян. Ведь предъявленные россиянам обвинения касаются не только взломов, но и  украденных денег, а в  США санкционный список попали не только разработчики эксплойтов, но и «обнальщики» средств, а также  на хакеров строительные и торговые компании.

Теперь именно они, предполагают собеседники издания, могут стать мишенью для службы экономической безопасности .

и Эдуард Бендерский не ответили на запросы издания. До Алены Бендерской дозвониться не удалось. Родственники Максима Якубца не ответили на сообщения, отправленные им в соцсетях.

Поведение экстравагантных миллионеров

В хакерской группе Evil Corp состоит не только зять силовика, но и сын чиновника. Девять лет назад человек с ником 77strel стать автомобильным блогером: с гонками на Porsche молодой человек выкладывал вперемежку с роликами, где спящего на автобусной остановке бездомного. В 2019 году один из старых роликов в сюжете об Evil Corp телеканал CBS, показав лицо хакера; в соцсетях этот человек называет себя то , то , то (под этой фамилией кибермошенник в санкционный список). Все фотографии из «ВКонтакте» Плотницкий вскоре удалил, но с помощью сервиса для распознавания лиц удалось найти ту, где он стоит в одной авторемонтной мастерской с членом Evil Corp Кириллом Слободским и машиной, принадлежащей другому участнику группировки Дмитрию Смирнову.

Андрей Плотницкий (Ковальский) и Кирилл Слободской

Человек с шестью псевдонимами — Андрей Плотницкий, он же Strel, «Ожидан» или Андрей Ковальский — оказался  бывшего мэра Химок Владимира Стрельченко.

От фамилии отца хакер  себе только никнейм для инстаграма — Strel; Стрельченко и сам  Плотницкого своим сыном. Хакер не ответил на просьбу поговорить, переданную через работавшего с ним юриста; в ответ на сообщение в соцсетях он  свою страницу «ВКонтакте».

Плотницкий был самым публичным членом Evil Corp: например, когда одного из участников хакерской группы задержали за гонки на спорткарах, Плотницкий  в своем инстаграме, что полиция занимается не тем: «Судьи, менты, чиновники, беспредел вокруг — а они (докопались) до заездов!» Гонка, в которой тогда участвовали хакеры, прошла на скорости 280 км/час — Lamborghini группировки «стирали резину о гладко асфальтированные магистрали олимпийского Сочи», как  в соцсетях. Со своими желтой Lamborghini и ультрамариновой Audi R8 участники Evil Corp много  именно в Сочи, который стал любимым курортным направлением Evil Corp; за границу, по данным лично знакомого с ними силовика, они не выезжали уже много лет, опасаясь преследования.

Как  в недавнем пресс-релизе британское Национальное агентство по борьбе с преступностью, свои операции Evil Corp  «из подвалов московских кафе». Одно из них удалось найти по фотографии,  британскими силовиками.

Кафе «Кьянти» на улице Татарской в Москве, перед которым когда-то парковалась Lamborghini Максима Якубца, с тех пор закрылось; на двери висит объявление «Убедительная просьба не дергать за ручку двери!» — но сама ручка вырвана с корнем. Впрочем, корреспонденту даже не пришлось стучать, чтобы поговорить с нынешними владельцами помещения — поднявшаяся из подвала женщина объяснила, что кафе давно продано.

«Видите, никаких людей на Lamborghini. Здесь благотворительный фонд теперь», — уточнила она, но не сумела вспомнить ни названия фонда, ни имени его основателя. В «СПАРК-Интерфакс» издание не обнаружило благотворительных фондов, зарегистрированных по этому адресу.

Скорее всего, выбор кафе на улице Татарской объясняется тем, что Максим Якубец c Аленой Бендерской живут на соседней улице Бахрушина, рассказал их сосед. «И эти их машины стояли там на протяжении нескольких лет — все их знают», — вспоминает собеседник.

Британские силовики стиль жизни Evil Corp «поведением экстравагантных миллионеров»: принадлежащая группировке Audi однажды на несколько минут остановила шестиполосную трассу, дрифт прямо посреди проезжей части в центре Москвы; член Evil Corp Денис Гусев и один из «обнальщиков» размещали в соцсетях фотографии, где они на руках живого львенка.

В соцсетях кибермошенники называли себя и ; даже пароль, который придумал к своей электронной почте Максим Якубец, — «стать миллионером». Самоиронию хакеры проявили только при выборе регистрационных знаков на свои роскошные машины: в номерах четырех из них слово «». Денис Гусев не ответил на вопросы, направленные ему через соцсети.

Чем еще владеют хакеры из Evil Corp?

Люксовые спорткары — слабое место не первого поколения российских хакеров, рассказывает ветеран , боровшийся с самыми первыми российскими кибермошенниками. «Молодых талантливых ребят надо было просекать — за этим следила контора. Ловили так же, как издревле ловят человека, который, формально не имея ни рубля в кармане, внезапно выезжает на Ferrari.

Это же молодежь была: они сразу покупали себе самое крутое, что только можно, и отследить таких в студенческой среде не представляло ровным счетом никакого труда, потому что стукачей у нас всегда, слава богу, было достаточно. Лично у меня проблем не было. Году в 2002-м надо было с одним таким пацаном отработать, студентом МФТИ: у него была Lamborghini — кажется, серо-стальная».

Интересно, что почти все связываемые с группировкой автомобили в разное время были записаны только на одного ее участника — Дмитрия Смирнова, утверждает Игорь Бедеров. «На Смирнова записано машин миллионов на 100 (рублей)», — говорит собеседник.

Всего в автопарке Evil Corp, по данным Бедерова, три Lamborghini Huracan, Cadillac Escalade, Chevrolet Camaro, три Mercedes Benz разных моделей, Volkswagen Amarok, одна покрытая узором из черепов и кастетов Nissan GT-R — и одни классические «Жигули». Это не все машины хакеров: ультрамариновая Audi Андрею Плотницкому, а еще один серый Lamborghini, вместе со спорткарами Evil Corp в Сочи, когда-то находилась в распоряжении «Павла Водителя» — так связанный с автомобилем телефон идентифицирует приложение GetContact. Удалось дозвониться до Павла и расспросить его о хозяине машины. «Человек занимается зерном: здесь покупает и в Иран продает, контракты на миллионы долларов. Никакой не киберпреступник, — говорит водитель. — А Lamborghini — это мечта детства у него».

Бедеров предполагает, что люксовые машины могли использоваться хакерами как валюта. «Большая часть машин раздавалась людям по доверенностям — мотоцикл Harley Davidson, например, в Питере выдавался человеку, который, судя по всему, просто работал у них водителем. Иногда таким же образом технику выдают просто в качестве вознаграждения — сталкивался с таким при изучении мошеннических криптопроектов».

ФСБ и DOBRO

Команда Максима Якубца — не единственная хакерская группа, связанная с . Сотрудничество со дает киберпреступникам множество преимуществ, утверждают собеседники: по сравнению с Evil Corp, например, более чем скромными выглядят личные состояния хакеров из группировки Lurk, которую тоже в атаках на банки. Как рассказывалбывший адвокат одного из фигурантов Сергей Поляков, «складывалось впечатление, что они не так уж и наворовали»: «У „обнальщиков“ изъяли старый мерс и 20 миллионов рублей, еще три миллиона изъяли (на обысках) в Туле. Мой клиент — хакер, который якобы украл миллиард, сейчас отдает последнее за услуги адвоката; справляются только потому, что жена работает и мать — учительница французского».

Находящийся в СИЗО участник Lurk Александр Сафонов, с которым корреспондент общался по переписке, признавал, что Lurk действительно во многом была неэффективным «сборищем дилетантов». Но незадолго до задержаний хакерам из Lurk довелось осуществить пару взломов вместе с гораздо более продвинутой группой специалистов.

Сейчас даже никнеймы этих людей не фигурируют в материалах , утверждает Сафонов. «Они взламывали банки десятками. Свои разработчики, свой набор инструментов — „ручные хакеры“ наших ! Были завербованы под угрозой тюрьмы, а мелкота наемная — тоже под контролем , но меньшим. Кто-то из ключевых — вообще в погонах. Выполняли взломы по приказу кураторов и делились процентом от хищений со . И им было разрешено воровать везде, кроме российских правительственных кормушек — Сбера, ВТБ и пр. А по миру — везде».

«Я подозреваю, что с человеком, который все это организовывал, мы читали одни и те же учебники и ходили в одну и ту же библиотеку», — комментирует рассказ Сафонова собеседник среди ветеранов .

Эту историю Александр Сафонов рассказал из СИЗО — на нескольких страницах, написанных от руки. Название абсолютно подконтрольной силовикам хакерской группы он каждый раз выводил одними заглавными — DOBRO. Связаны ли эти люди с Evil Corp — и к какому «добру» отсылает название группировки, выяснить не удалось.