ФБР продолжает разыскивать укравшего более 100 млн долларов хакера из Анапы

ФБР разыскивает хакера из Анапы Евгения Богачева, которого обвиняют в краже более 100 млн долларов в США

Преследование хакера началось в 2009 году. ФБР обратило внимание, что недавние пропажи денег с банковских счетов нескольких компаний объединяет одно обстоятельство — они совершены с IP-адресов внутри самих компаний. Компьютеры оказались заражены вирусом-«трояном» под названием Zeus («Зевс»). Его придумал человек, известный под несколькими псевдонимами — Slavik, lucky12345 и еще несколько имен, ничего не говоривших о человеке. Вирус проникал в компьютер через фальшивое письмо из Налогового управления США или уведомления от курьерской компании UPS, которые заставляли пользователя перейти по ссылке. В зараженном компьютере хакеры могли узнавать пароли, PIN, ответы на «секретные» вопросы и многое другое. После получения информации злоумышленники снимали деньги со счетов жертв. Зараженные компьютеры можно было объединить в ботнет — сеть из тысяч машин, чьи ресурсы скрытно использовались. Zeus стал любимым оружием киберпреступников, его создатель Slavik выпускал для программы обновления и устраивал бета-тестирования новых функций, пишет Republic со ссылкой на Wired.

В 2009 году Slavik начал собирать команду хакеров-единомышленников. В сентябре ФБР раздобыло переписку членов группировки на русском и украинском и обнаружило упоминания сотен жертв. Чтобы обналичить украденные деньги, преступники нанимали «денежных мулов» — десятков людей, которые ходили по банкам в Нью-Йорке, открывая там счета и снимая определенные суммы через несколько дней за процент. Деньги на счетах возникали из ниоткуда благодаря переводам «Славика» и его сообщников. Сеть «мулов» в США была частью общей картины — такие же схемы работали в Румынии, Чехии, Великобритании, Украине и России. По подсчетам ФБР, группа «Славика» присвоила 70 — 80 млн долларов, но реальная сумма была больше.

В 2010 году ФБР и Минюст США нашли нескольких лидеров преступной группы в Донецке. Троих мужчин в возрасте 20 с лишним лет задержали осенью, после этого по всему миру провели еще 39 арестов и нарушили работу сети, но ключевые игроки скрылись.

Slavik пропал на год. Осенью 2011 года эксперты по кибербезопасности начали замечать, что в сети появились новые варианты Zeus. Исходный код программы был в открытом доступе, каждый желающий мог адаптировать и улучшать его по своему усмотрению. Одна из версий была особенно сложной и обладала дополнительными механизмами сохранения работоспособности при атаке со стороны — программа называлась GameOver Zeus — «Игра окончена». Специалисты пришли к выводу, что программу контролирует группа очень умелых хакеров под предводительством «Славика». Он не только вернулся, но и создал новую преступную группу — Business Club.

Преступники работали с банками и грабили счета с 6- и 7-значными суммами. Они заражали компьютеры GameOver и перехватывали банковские данные и пароли, как только пользователь входил в свой аккаунт онлайн. Со счета списывали все деньги, а чтобы сотрудник банка или владелец счета этого не заметил, на экран выводилось сообщение об ошибке или сбое в работе, который длился несколько дней. За один день 6 ноября 2012 года злоумышленники украли 6,9 млн долларов одной транзакцией. Скрыть крупные суммы с помощью «денежных мулов» было нельзя, поэтому переводы прятали внутри самой банковской системы — в триллионных потоках легальных транзакций.
Помимо банков злоумышленники атаковали счета некоммерческих организаций, компаний и даже частных лиц. Группа «Славика» ввела в практику кибершантаж, который используется по сей день.

Остановить Business Club пытались с 2011 по 2013 год. Во время одной из операций против GameOver европейские расследователи почти сумели взять вирус под контроль, но не учли резервный уровень защиты. Тогда европейские специалисты решили объединиться с ФБР.

Отдел ФБР по борьбе с киберпреступностью в Питтсбурге следил за успехами GameOver около года, когда с его руководителем Китом Муларски связались независимые эксперты по безопасности. Бюро не сотрудничает с частным сектором, но для устранения группы «Славика» сделало исключение. Надо было установить, кто управляет вирусом, кому в будущем предъявлять обвинение, найти способ одолеть цифровую инфраструктуру вируса и вывести из строя физическую — добиться решений суда для отключения серверов по всему миру. Параллельно надо было, чтобы частные компании обновили антивирусные программы и прочее ПО, чтобы при первой возможности восстановить зараженные компьютеры. Для борьбы с хакерами подключились специалисты из Великобритании, Швейцарии, Украины, Люксембурга и дюжины других стран, а также эксперты из Microsoft, McAfee, Dell SecureWorks и других профильных компаний. Они поняли, как работает Business Club: 50 киберпреступников оплатили вступительный взнос, чтобы контролировать GameOver. Сеть опиралась на два британских сайта. Через несколько месяцев расследования эксперты из голландской компании Fox-IT отследили на британском сервере электронный адрес, который Slavik использовал для управления сайтами Business Club. Они сопоставили его с аккаунтом в одной из российских соцсетей, который дал имя: Евгений Михайлович Богачев. Выяснилось, что «Славик» — 30-летний мужчина из Анапы, у него есть жена, дочь и кот.

В процессе расследования эксперты обнаружили, что что GameOver был не только вирусом для кражи паролей к банковским аккаунтам, но и инструментом для сбора разведывательных данных. На зараженных компьютерах искали информацию о грузинской службе разведки, турецкой полиции, сирийском конфликте, российских поставках оружия. Доступ к инструментам, скорее всего, имел только Богачев. Специалисты не установили прямую связь между хакером и российскими государственными структурами, но предположили, что он работает на российскую разведку: сразу после вторжения в Крым часть ботнета принялась искать засекреченные файлы Украины. Эксперты считают, что Slavik мог начать сотрудничать со спецслужбами в 2010, возможно, в обмен на свободу.

Операцию по ликвидации организации «Славика» назначили на 30 мая 2014 года. Атаку завершили спустя 60 часов. На следующий день, 2 июня, Богачеву предъявили заочное обвинение по 14 пунктам. ФБР в 2015 году было готово выплатить за информацию, ведущую к поимке Евгения Богачева, 3 млн долларов — максимальную награду за поимку киберпреступника.

Однако хакер на свободе и вне зоны досягаемости ФБР и Госдепартамента. Местоположение «Славика» неизвестно, ФБР считает, что он «может путешествовать на катере вдоль берега Черного моря». На сайте американского казначейства говорится, что «Богачев и его сообщники ответственны за кражу более $100 млн у финансовых учреждений и государственных агентств США», но сумма, скорее всего, больше.