Хакер в погонах: чем прославился третий фигурант дела о госизмене в ФСБ
07.04.2021 11:15Четыре человека были арестованы по делу о госизмене (ст.275 УК РФ), оперативным сопровождением которого занимается управление собственной безопасности (УСБ) ФСБ, рассказали РБК два источника, знакомые с ходом расследования. Пока известны имена троих: это сотрудник «Лаборатории Касперского» Руслан Стоянов, заместитель главы Центра информационной безопасности (ЦИБ) ФСБ Сергей Михайлов и старший оперуполномоченный 2-го отдела оперативного управления ЦИБа Дмитрий Докучаев.
Все аресты были санкционированы в декабре 2016 года, писали «Коммерсантъ» и RNS и соглашался собеседник РБК в контрразведке, однако до сих пор избрание меры пресечения не подтвердили РБК ни в одном из московских судов.
Офицер с историей
ЦИБ ФСБ, где работают Михайлов и Докучаев, занимается борьбой с киберпреступностью, в том числе в области электронной коммерции и незаконного распространения персональных данных. Михайлов, отмечал собеседник РБК, был задержан во время заседания коллегии ФСБ. По словам источников «Новой газеты», в момент задержания полковнику ФСБ на голову надели светонепроницаемый мешок.
Издание отмечало, что Михайлов попал в поле зрения коллег по спецслужбе, после того как США обвинили владельца компании King Servers Владимира Фоменко в кибератаке на избирательные системы в штатах Аризона и Иллинойс. Источники «Новой газеты» утверждали, что американские спецслужбы получили эту информацию именно от Михайлова.
Фоменко арендовал серверы у компании «Хронопэй Восток», контролируемой бизнесменом Павлом Врублевским, писала газета. Сотрудничество двух компаний подтверждается и публикациями на сайте Chronopay. Сам Фоменко заявил RNS, что его фирма с 2012 года покупает своё оборудование и ничего не арендует.
В 2013 году Врублевский был осужден по делу принадлежавшей ему компании Chronopay. Суд признал его виновным в организации в 2010 году DDoS-атаки на платежную систему «Ассист», из-за чего в течение недели было невозможно оплатить электронные билеты на сайте основного клиента «Ассиста» — «Аэрофлота». Врублевский настаивал на своей невиновности, а возбуждение дела объяснял «оговором со стороны Сергея Михайлова», с которым у него был «личностный конфликт». В результате Врублевский получил 2,5 года колонии, а через год был освобожден условно-досрочно.
Михайлов упоминался в СМИ и в связи с ситуацией вокруг основателя сайта Roem.ru Юрия Синодова. Тот утверждал, что ему дважды — в 2007 году и в 2011-м — приходили запросы из ФСБ за подписью Михайлова с требованием раскрыть данные пользователей сайта. После второго запроса Синодов пожаловался в Генеральную прокуратуру. Там сочли, что ФСБ нарушила закон «Об оперативно-разыскной деятельности».
Конфликт двух центров
Дело в отношении Стоянова, Михайлова и других связано с противостоянием внутри спецслужбы, рассказали РБК два источника, близких к руководству ФСБ. По их словам, в последнее время обострились отношения между руководством ЦИБа и Центра защиты информации и специальной связи ФСБ, который возглавляет Андрей Ивашко и который занимается лицензированием в том числе криптографического оборудования, а также помогает Центральной избирательной комиссии передавать информацию об итогах голосования по защищенным каналам связи. По словам источников РБК, функционал двух центров во многом совпадает, что и стало причиной конфликта.
Ещё один источник РБК, знакомый с ходом расследования, утверждает, что дело о госизмене связано не только с утечкой информации о King Servers, но и с деятельностью хакерской группировки «Шалтай-Болтай». По его словам, Михайлов также был связан с этой группой. Об этом ранее сообщали источники телеканала «Царьград», подконтрольного бизнесмену Константину Малофееву. Предприниматель известен тем, что активно помогал сторонникам самопровозглашенных Донецкой и Луганской народных республик.
Что такое «Шалтай-Болтай»
Первоначальное название — «Анонимный интернационал». Начиная с декабря 2013 года группа занимается продажей информации со взломанных мобильных устройств и почтовых аккаунтов российских политиков и бизнесменов.
В разное время группа продавала или самостоятельно публиковала переписку премьер-министра Дмитрия Медведева, заместителя начальника управления по внутренней политике администрации президента России Тимура Прокопенко, главного редактора телеканала Life Арама Габрелянова, главы Роскомнадзора Александра Жарова. В последнем лоте, выставленном группой на продажу на анонимной бирже Joker.buzz, содержалась переписка бизнесмена Константина Пономарева, известного по судебным процессам с компанией IKEA в России. Этот лот был опубликован в июне 2016 года; он оценивается в 50 биткоинов (на январь 2017 года это около 2,7 млн руб.).
В октябре 2016 года компания ESET опубликовала результаты расследования деятельности хакерской группы Fancy Bear, которую неоднократно обвиняли в связи с российскими спецслужбами. В документе утверждалось, что члены Fancy Bear пытались взломать аккаунты «Анонимного интернационала». По данным компании CrowdStrike, которая занимается кибербезопасностью, Fancy Bear имеет отношение к ГРУ Минобороны России.
Расследованием того, как «Шалтай-Болтай» получала информацию, занимался один из федеральных чиновников, ставший жертвой хакеров, рассказал РБК источник, близкий к аппарату Кремля. По его словам, чиновник задействовал свои связи в спецслужбах, что позволило ещё год назад идентифицировать организаторов. Промедление с их задержанием и обнародованием информации по делу было связано с имиджевыми рисками для спецслужбы.
«Новая газета» отмечает, что Докучаев входит в группировку «Шалтай-Болтай», а Михайлов курировал хакеров. «Подтверждения причастности россиян к атаке серверов в США установить не удалось, зато оперативникам УСБ ФСБ удалось вплотную подобраться к группировке хакеров «Шалтай-Болтай», — говорится в материале.
Кураторство со стороны Михайлова подтверждает и «Росбалт». Агентство настаивает, что в начале 2016 года офицеру было поручено вычислить хакеров, а летом контрразведчик поставил группировку под свой контроль. Об этом сотрудники УСБ ФСБ узнали, когда в конце октября задержали в Санкт-Петербурге Владимира Аникеева, или Льюиса, — создателя «Шалтай-Болтая». Ему предъявили обвинение по статье «Неправомерный доступ к компьютерной информации» (ст.272 УК), и Льюис начал сотрудничать с правоохранительными органами.
«Михайлов великолепный специалист. Лучший в своём деле. Можно сказать, что ЦИБ — это Михайлов. Но он заигрался», — отметил собеседник «Росбалта», знакомый с ходом расследования.
Хакер в погонах
Как утверждают источники РБК, проходящий по делу о госизмене сотрудник ЦИБа Дмитрий Докучаев в недавнем прошлом тоже был хакером. Собеседники РБК, знакомые с ходом расследования, рассказали, что Докучаев был известен в Сети под именем Forb.
В 2004 году Forb в своём интервью «Ведомостям» рассказывал: «Я всегда считал, что информация должна быть свободной, поэтому платить провайдеру за предоставление доступа ужасно не хотелось». По его словам, он специализировался на взломе по заказу, а самым большим достижением считал проникновение на сайт администрации США. «Несмотря на сложность взлома, мне удалось обойти тамошний брандмауэр и успешно осуществить атаку», — вспоминал Forb.
Он также говорил, что самым прибыльным направлением работы для хакеров является кардинг — воровство денег с чужих кредитных карт.
В материале утверждалось, что Forb родился в Екатеринбурге в 1984 году, на момент публикации учился в вузе. Докучаев также был редактором рубрики «Взлом» в журнале «Хакер». Бывший главный редактор журнала «Хакер» Никита Кислицин (возглавлял издание с 2006 по 2012 год) рассказал РБК, что сотрудничество с Докучаевым «длилось примерно три года». «Мы общались и работали вместе. Докучаев обладал достаточными знаниями, чтобы заниматься тем, чем он занимался», — отметил Кислицин, подчеркнув, что ему не известно, являлся ли Докучаев сотрудником силовых структур.
Главный редактор журнала «Хакер» в 1998–2002 годах и издатель цифровой группы журналов издательства «Gameland» (2002–2007 годы) Сергей Покровский, отвечая на вопрос РБК, является ли сотрудник ФСБ Докучаев бывшим редактором рубрики «Взлом», сказал: «Да, я полагаю, что это тот же Дмитрий». Покровский добавил, что Докучаев был «экспертом в компьютерной безопасности, именно поэтому мы и назначили его редактором».
Докучаев попал в поле зрения ФСБ из-за кардинга, сообщили два источника РБК. По их словам, хакер перешел на работу в спецслужбу под угрозой уголовного преследования. Один из собеседников подчеркнул, что это обычная практика: в ЦИБе ФСБ достаточно
сотрудников, которые в прошлом были хакерами.
Специалист по безопасности
Стоянов, как следует из его профиля в социальной сети LinkedIn, работает в «Лаборатории Касперского» с июля 2012 года. С 2000 по 2006 год он служил в управлении специальных технических мероприятий (УСТМ) ГУВД по Москве, покинул его в звании майора милиции и начал работать в компании «РТКомм.РУ», где до 2010 года руководил отделом безопасности Сети. Затем он несколько лет работал в фирме «Индрик-ПРО». Как следует из базы «СПАРК-Интерфакс», ему до сих пор принадлежит 19% акций этой компании, которая занимается разработкой программного обеспечения.
В «Лаборатории Касперского» Стоянов возглавлял отдел расследования компьютерных инцидентов, активно сотрудничавший с ФСБ и МВД. Стоянов помог с расследованием в отношении хакерской группы Lurk, похитившей у банков и крупного бизнеса 3 млрд руб. В «Лаборатории Касперского» отмечали, что дело в отношении Стоянова не связано с его работой в компании.