СБУ и ФБР ликвидировали мощную хакерскую группировку, действовавшую под крылом ФСБ (фото)
Хакеры с 2007 года оказывали виртуальные услуги преступникам. Злоумышленники использовали Dark Net — скрытую от обычных пользователей часть интернет-сети, где можно, в частности, анонимно приобрести оружие, наркотики. Правоохранители долго не могли идентифицировать участников, так как хостинг не отвечал на запросы.
Организатором оказался житель Одессы
— В отличие от обычных граждан, правоохранители имеют право и много возможностей раскрыть анонимность лица, совершившего преступление, — пояснил Иван Баканов. — Можно, к примеру, запросить необходимые сведения у провайдера или оператора связи. Но не в Dark Net, который базируется на «абузостойком» хостинге, не отвечающем ни на запросы правоохранителей, ни на жалобы правообладателей. Хостинг невозможно найти из-за сложных технологий маскировки (и физической, и виртуальной) и особенностей самого Интернета.
Однако вот уже несколько дней среди тех, кто пользовался Dark Net, царит паника, многие пытаются связаться с организаторами «абузостойкого» хостинга, который мы нейтрализовали в Одессе. Были предотвращены сотни, а возможно, тысячи противоправных посягательств на граждан Украины, США, Японии и Европы, на органы власти и управления, объекты критической инфраструктуры.
Оперативники спецслужбы установили, что организатором группировки является гражданин Украины, житель Одессы Михаил Рытиков (Титов). Свой первый хакерский опыт он получил в Москве в середине 2000-х. Уже в 2007 году начал предоставлять услуги хакерам всего мира через украинские сети, тщательно скрывая фактическое местонахождение своего оборудования. Периодически оборудование находили украинские, российские, американские правоохранители, изымали его, но хакерская группа вскоре возобновляла деятельность. Сегодня группировка насчитывает десять основных участников и десятки пособников, посредников в ряде стран мира, а также тысячи клиентов — среди них, например, разработчик вируса ZeuS Евгений Богачов, которого разыскивает ФБР.
Установлено, что Рытиков продавал свои услуги через закрытые хакерские форумы и специализированные веб-ресурсы, утверждая, что его серверное оборудование находится в дата-центрах (центры обработки данных) в Ливане, Ираке, Иране, Германии, Панаме, Нидерландах, Белизе, России. На самом деле оборудование находилось под Одессой, в одном из недостроенных домов. Помещение было оборудовано тайным каналом телекоммуникаций и даже имело собственный лифт.
По словам оперативников, хакер выкупил участок земли, на котором построили частный дом. В подвале обустроили помещение с вытяжками и кондиционерами. Вытяжку соединили с каминной трубой, наружу были выведены только блоки кондиционеров. Чтобы попасть в дата-центр — комнату квадратов тридцати, спрятанную под автоматическим полом, — нужно было нажать кнопку в стене. Вход был тщательно замаскирован. Однако оперативники знали, что данные о локации верны и дата-центр должен быть здесь. Увидев строящийся дом с работающими кондиционерами, они поняли, что не ошиблись.
Правоохранители изъяли 146 серверов на сотни терабайт противоправной информации
— В ходе санкционированных следственных действий на территории частного домостроения с расположенным в нем скрытым дата-центром с резервным автономным источником электропитания, охраной и мощными каналами доступа к Интернету изъято почти полторы сотни серверов, — сообщил исполняющий обязанности начальника департамента кибербезопасности СБУ Николай Кулешов. — На них размещались тысячи хакерских ресурсов, некоторые остались зашифрованными, многие были настроены таким образом, чтобы не хранить следов преступной деятельности.
Предварительное исследование сетевого оборудования и оценка диапазонов IP-адресов, используемых группировкой, указывает на то, что минимум три автономные системы зарезервированы за предприятиями Российской Федерации. Учитывая контрразведывательный режим, существующий в РФ, а также технологические особенности организации и построения СОРМ-3 (система протоколирования обращений к интернету, разработанная при участии ФСБ), владение и управление этим номерным ресурсом не могло происходить без контроля и прикрытия со стороны российских спецслужб.
— Эта информация позволяет СБУ получить более четкое представление о схемах кибератак на украинские объекты критической инфраструктуры, о роли российских спецслужб в кибератаках на другие страны. Кибербезопасность в международном измерении является коллективной задачей, и ни одна страна в одиночку не сможет эффективно защищаться от киберугроз, — отметил Иван Баканов.
Как уточнили правоохранители, они изъяли 146 серверов на сотни терабайт противоправной информации. Общие затраты на оборудование, мощный электрогенератор, строительство и обустройство дома, договоренности с энергетиками о выделенной электрической линии организаторы задержания оценивают в 700 тысяч долларов. Только один генератор мог стоить порядка 150 тысяч долларов. С его помощью, даже при отсутствии электроснабжения, дата-центр мог работать долгое время.
Михаил Рытиков — один из «русских хакеров», которые украли данные о 160 миллионах кредиток в США. Среди участников этой атаки был Владимир Дринкман. В 2018 году он был приговорен американским правосудием к 12 годам лишения свободы за преступный сговор с целью взлома компьютеров и совершения мошенничества. Еще один участник — Дмитрий Симлянец — получил четыре года и три месяца и был освобожден, так как до вынесения приговора находился под стражей все это время.
За годы деятельности хакеры проникли в информационные системы более десяти американских и международных корпораций. В частности, от них пострадали такие крупные операторы, как биржа NASDAQ, компании Heartland Payment Systems Inc. и Carrefour S.A., бельгийский банк Dexia Bank Belgium. Ущерб от действий хакеров оценивался в 305 миллионов долларов.
Они действовали, используя анонимные услуги веб-хостинга Михаила Рытикова. Именно он возглавлял группу хакеров, которая обслуживала так называемый абузоустойчивый хостинг. Последний использовался злоумышленниками для размещения ресурсов и проведения кибератак.
Среди преступлений, совершенных с участием Рытикова, правоохранители выделяют распространение вредоносного программного обеспечения ZeuS, которое использовалось для кражи финансовых данных (его создал российский хакер Евгений Богачев; он также причастен к созданию программ, которые использовались для вмешательства в выборы США 2016 года), дело по взлому биржи NASDAQ, названное «величайшей мошеннической схемой такого типа, когда-либо реализованной на территории США».
По данным СБУ, хостинг Рытикова использовался спецслужбами России для атак на инфраструктурные объекты Украины.
Это далеко не полный перечень того, что ему инкриминируют. В Соединенных Штатах одесситу выдвинуты обвинения, предполагающие 50 лет заключения. Ему вменяют мошенничество, несанкционированное вмешательство, кражу персональных данных и ряд других преступлений.
— Сегодня хакеры обеспокоены тем, что в руках спецслужб оказались сотни терабайт данных, которые могут стать доказательствами в сотнях уголовных дел во всем мире. По нашим оценкам, речь может идти о 40 процентах русскоязычного сегмента Dark Net, — подчеркнул исполняющий обязанности главы СБУ.
Несмотря на сложный механизм документирования, связанный с несовершенным отечественным законодательством в киберсфере, оперативникам СБУ совместно со следователями Государственного бюро расследования и прокурорами Генпрокуратуры Украины удалось собрать необходимые доказательства причастности фигурантов производства к совершению тяжких преступлений.
Уголовное расследование против одессита было начато 25 января 2019 года. 11 июля материалы следствия стали основанием для проведения 29 обысков, в которых были задействованы более 120 сотрудников правоохранительных органов. Изъяли серверное оборудование, маршрутизаторы, автономные системы, использовавшиеся для прикрытия противоправной деятельности.
Рытиков и один из его пособников задержаны, им вручено подозрение по статьям Уголовного кодекса Украины «Несанкционированное вмешательство в работу компьютерных систем» и «Распространение порнографии». Сейчас оба фигуранта находятся под домашним арестом. Рытиков своей вины не признает и заявляет, что о дата-центре ему ничего не известно.
Казалось бы, все разложено по полочкам. Однако разоблаченная в Одессе хакерская сеть продолжает работать. Об этом в Facebook сообщил хакер Sean Brian Townsend. СБУ изъяло 146 серверов, но этого, по мнению хакера, мало — «как по количеству, так и по возможной прибыли».
В то же время хостинг Рытикова якобы продолжает отвечать на сообщения. Sean Brian Townsend отмечает, что спецслужбы, вероятно, пресекли деятельность одного из абузоустойчивых хостингов, но не заявленного.
Ранее «ФАКТЫ» сообщали, что украинские хакеры входили в группу, укравшую с банковских счетов 100 млн долларов.
Фото СБУ
5217Читайте нас у Facebook