Как Evil Corp — самая могущественная хакерская группировка в мире — связана с российскими силовиками
5 декабря США выдвинули официальные обвинения против российской хакерской группировки Evil Corp. Ее называют «самой вредоносной в мире»: ущерб от атак Evil Corp против банков оценивается в сотни миллионов долларов. Организатором группировки американский Минюст считает Максима Якубца — он остается на свободе и в марте 2019 года еще активно участвовал в хакерской деятельности.
Корреспондент отдела расследований Лилия Яппарова выяснила, что Evil Corp состоит из родственников чиновников и силовиков — и рассказывает, как живет близкий к российским спецслужбам хакер Максим Якубец, за чью голову назначена награда в пять миллионов долларов.
В июле 2009 года хакерскую группировку, участником которой был Максим Якубец, начали одолевать коллеги. «Ну, поздравляю! ********* (сойти с ума) можно, про тебя в новостях пишут», — звучало одно из сообщений в чате группы (позднее его вскрыло ФБР).
Незадолго до этого в The Washington Post вышла статья о «киберпреступниках из Украины, которые украли 415 тысяч долларов из казны округа Буллитт штата Кентукки». Хакеров, скорее, шокировала эта публикация: они не ожидали, что к ним придет мировая известность — хотя некоторым из них эта слава польстила. Однако 22-летний Максим Якубец — под ником aqua — отреагировал максимально жестко: «Они описали всю схему! Ублюдки. <…> Реально бесит».
Десять лет спустя Якубец сам возглавил группу хакеров, которую назвал Evil Corp, начал воровать с помощью нового банковского трояна — и ездить по Москве на суперкаре Lamborghini Huracan. Москвичи в своих телефонных книжках называют Якубца «Мистер прокурор»; за информацию, которая приведет к аресту россиянина, США готовы заплатить пять миллионов долларов — это самая большая награда, которую когда-либо назначали за помощь в поимке киберпреступника.
В американском Минюсте действия Якубца назвали «столь дерзкими и изощренными, что, не будь они реальны, их трудно было бы даже вообразить».
Помимо кражи банковских данных Якубец занимался и взломами по заказу российских спецслужб. Минфин США утверждает, что с 2017 года хакер работал на ФСБ; одним из его заданий было получение доступа к неназванным «конфиденциальным документам».
В российском министерстве иностранных дел эти заявления назвали «пропагандистской атакой». Источники выяснили, что правы, скорее всего, американцы, а хакерская группа не просто сотрудничает со спецслужбами — она буквально состоит из родственников российских чиновников и силовиков.
Сажают только для галочкиВ состав Evil Corp, по информации американских властей, входит 17 человек из шести стран. Группировка сформировалась около 2011-го, через два года после публикации в The Washington Post об ее предшественнице, в которую входил Максим Якубец.
Российским силовикам Evil Corp известны как люди, к которым можно обращаться, например, по поводу освобождения денег с заблокированных банковских счетов. «Ценник они выкатили совершенно конский, — рассказывает лично знакомый с хакерами ветеран ФСБ.
— Моих знакомых перуанцев, которые добывают алмазы в Южной Америке, тогда хлопнули за финансирование картеля. Они картелю дань платили, чтобы работать на его территории, и американцы заблокировали им счета за это. Перуанцы обратились ко мне — я их просто знаю давно — и я нашел им этих хохлов, чтобы вытащить замороженные деньги».
Впервые с российскими силовиками Якубец столкнулся еще в 2010 году — в статусе обвиняемого по американскому делу хакерской группировки Jabber Zeus Crew, заражавшей компьютеры по всему миру трояном Zeus для кражи денег с электронных кошельков и банковских счетов.
Россия тогда помогала в расследовании ФБР, и Якубца удалось идентифицировать почти сразу: хакер был настолько неосторожен, что использовал для работы тот же адрес электронной почты, через который заказал доставку на дом детской коляски. Агент ФБР, занимавшийся этим делом, в своих показаниях перед судом штата Небраска указывал, что Якубца следует обвинить по двум статьям уголовного кодекса США: «посягательство на совершение преступления» и «мошенничество в банковской сфере». Максимальное наказание по второму — до 30 лет заключения.
Когда 24 ноября 2010 года в московскую квартиру Якубца пришли с обыском, он был дома. В материалах американского обвинения фигурирует присутствовавшая в той же квартире женщина — первая жена Якубца (у них в 2009-м родился сын). Российские власти, говорится в американском обвинительном заключении по делу Якубца, передали американской стороне найденную при обыске информацию — однако ни о задержании, ни о других следственных действиях в отношении Якубца со стороны российских силовиков в деле ничего не указано.
После этой встречи отношения хакера с силовиками могли развиваться только по одному сценарию, утверждают собеседники. Первые столкновения кибермошенников со спецслужбами почти никогда не заканчиваются тюрьмой, говорят два собеседника в ФСБ и ветеран войск связи. «Если при первичном общении оказывается, что они совсем отмороженные, то такие долго не живут, а все остальные начинают сотрудничать», — рассказывает ветеран ФСБ, работавший с хакерами. «Сажают действительно редко и только для галочки», — говорит генеральный директор Института исследований интернета Карен Казарян.
ФСБ принуждает кибермошенников к сотрудничеству еще с конца 1990-х, отмечает ветеран спецслужбы — такой курс был взят, когда в спецслужбе осознали прибыльность нового типа высокотехнологичных преступлений. «Как только первый безродный студент технологического вуза вывел на улицы Москвы свою Ferrari, так контора и начала этим заниматься. Хотели поставить это дело на контроль, оседлать бизнес, как говорится, — вспоминает собеседник. — Когда мы их находили, ставили работать на отдельных руководителей подразделений. Вот с тех пор все эти ребята и находятся на службе».
Избежать сотрудничества со спецслужбами в свое время не смогли даже самые неуправляемые киберспециалисты, рассказывает близкий к хакерам собеседник. «Был один хакер совершенно отмороженный: байкер, без пальца на одной руке, однажды даже убил педофила — забил табуреткой прямо в баре, отсидел за это, — вспоминает собеседник. — Но когда они с товарищами квартиру сняли и начали оттуда работать, их очень быстро фейсы вычислили и накрыли. Естественно, сажать никто никого не стал — просто заставили работать на себя».
Максим Якубец — не первый российский киберпреступник, которого за рубежом обвиняют в сотрудничестве с российскими властями.
Топ-менеджер «Лаборатории Касперского» Руслан Стоянов, который отбывает срок за госизмену, рассказывал, что за выполнение государственных задач хакеров вознаграждают «покровительством»; Стоянов называл такой формат сотрудничества «иммунитетом от возмездия за кражу денег <…> в обмен на разведданные».
В 2017 году у лидера Evil Corp Максима Якубца появились и личные причины начать помогать ФСБ — он стал родственником влиятельного силовика.
«Секретка» особой важностиЛетом 2016 года атаки Evil Corp на время утихли: последний всплеск рассылки фишинговых писем случился 15 и 16 августа. Остаток месяца Максим Якубец провел в Крыму, на самом дорогом курорте полуострова. За неделю в Mriya Resort & SPA хакер заплатил больше миллиона рублей. Этот отель на ялтинском побережье с высоты напоминает цветок лотоса, вытянувшийся лепестками к Черному морю; президент Владимир Путин хвалил главу Сбербанка Германа Грефа за построенный на деньги учреждения комплекс.
Якубец в Mriya останавливался не один. Согласно данным о перелетах, оказавшимся в распоряжении издания, вместе с хакером на российские курорты часто летает Алена Бендерская: в 2017-м она вместе с членами Evil Corp провела январские праздники в Сочи; летом того же года Бендерская с Якубцом побывали на Байкале.
Номер в лодж-отеле «Байкальская резиденция» в документах бронирования был описан так: «Комплиментарно для just married».
Издание неизвестно, зарегистрирован ли брак Якубца и Бендерской официально — но масштабную свадебную церемонию они провели, как обнаружило «Радио Свобода».
Информацией о том, что летом 2017 года глава Evil Corp сыграл свадьбу, также делились британские силовики.
Максим Якубец и Алена Бендерская
После свадебной церемонии прекратила обновляться вся открытая или полуоткрытая информация не только о Максиме Якубце, но и об остальных членах группировки, обратил внимание бывший оперативник и основатель компании «Интернет-розыск» Игорь Бедеров. Пропадают, например, данные о пересечении ими государственной границы. Это может быть связано с личностью предполагаемой невесты.
Полная тезка Алены Эдуардовны Бендерской состоит в руководстве или является совладельцем семи юридических лиц, три из которых, согласно данным «СПАРК-Интерфакс», связаны с президентом благотворительного фонда «Вымпел», бывшим спецназовцем ФСБ Эдуардом Бендерским. «Бывший сотрудник, но до сих пор очень влиятельный, очень. У него нефтянка и бизнесов куча. И ЧВК своя на Ближнем Востоке», — рассказывает знакомый с Бендерским ветеран ФСБ.
Почему Бендерский очень влиятелен?О влиятельности Бендерского, уволившегося со службы всего лишь в звании старшего лейтенанта, свидетельствует его деятельность как главы «Клуба горных охотников».
Бендерский — не только один из самых публичных представителей трофейной охоты, он практически возглавляет охотничье лобби в России.
До 2013 года Бендерский возглавлял Росохотрыболовсоюз — ассоциацию общественных объединений охотников и рыболовов. В «Клубе горной охоты» также состоят несколько человек, занимающих государственные должности, и крупные бизнесмены.
Как писали в сентябре 2016 года клуб попросил тогдашнего вице-премьера правительства Александра Хлопонина разрешить отстрел пяти путоранских баранов, входящих в Красную книгу: в ответ на частный запрос охотничьего клуба вице-премьер поручил Минприроды разработать «пилотный проект по взаимодействию» (юрист «Гринписа России» Михаил Крейндлин в разговоре тогда сказал, что впервые сталкивается с ситуацией, когда отстрела животных добиваются на таком высоком уровне).
А когда в декабре 2019 года «Клуб» начал лоббировать развитие спорта для снайперов, инициативу сразу поддержал министр спорта Павел Колобков.
В инстаграме Бендерская подписана на аккаунт «Lamborghini Club Russia»; свой день рождения она отпраздновала «в стиле Dolce&Gabbana», как рассказывали гости праздника. В соцсетях Бендерскую, завсегдатая московских вечеринок, просят выкладывать совместные фотографии с другими участниками клубной жизни Москвы. «Как разъезжающий по Москве на Lamborghini парень мог познакомиться с дочкой силовика? — рассуждает близкий к ФСБ собеседник. — Да просто вся эта тусовка молодежная, где тратится нереальное количество денег, она же очень узкая — и понятно, что в ней крутятся дети генералов».
В год свадьбы Якубец начал сближаться с ФСБ, а с апреля 2018-го хакер находился в процессе получения лицензии службы на работу со сведениями, составляющими государственную тайну, утверждает американский Минфин. «„Секретка“ хакеру нужна, чтобы искать компромат на наших чиновников, хранящийся за рубежом», — считает близкий к ФСБ собеседник. «У Evil Corp основные цели были — лондонские финансовые организации. А в Лондоне наших денег полно. Очевидно, что если они фигачили [хакерские атаки] по различным фондам, то могли много чего нарыть и на наших», — рассуждает Карен Казарян.
Оформление доступа к гостайне должно было окончательно определить отношения хакера с ФСБ — и превратить Якубца во внештатного сотрудника, утверждает ветеран спецслужбы. «А если он взламывал иностранные правительственные сайты, то это, конечно, „секретка“ особой важности, то есть контракт о постоянной целенаправленной работе», — утверждает Игорь Бедеров.
Несмотря на связь Evil Corp с силовиками, неприкосновенной группировка не стала — в преследовании хакеров уже на территории России может быть заинтересовано одно из подразделений ФСБ, считают собеседники. «Управлению „К“ (Служба экономической безопасности ФСБ) сейчас нужно нового генерала растить, вроде бы они уже заинтересовались», — рассказывает знакомый с ситуацией ветеран ФСБ.
В службе экономической безопасности ФСБ весной 2019 года действительно появилось пространство для выращивания новых кадров.
В апреле начальник одного из отделов управления «К» Кирилл Черкалин был задержан по подозрению во взятке. Управление «К» занимается контрразведывательным обеспечением кредитно-финансовой сферы; отдел Черкалина курировал российский банковский бизнес, а сам Черкалин участвовал в заседаниях межведомственной комиссии по противодействию легализации преступных доходов.
Дело Evil Corp идеально вписывается в профиль работы управления, говорит Карен Казарян. Ведь предъявленные россиянам обвинения касаются не только взломов, но и легализации украденных денег, а в объявленный США санкционный список попали не только разработчики эксплойтов, но и «обнальщики» средств, а также оформленные на хакеров строительные и торговые компании.
Теперь именно они, предполагают собеседники издания, могут стать мишенью для службы экономической безопасности ФСБ.
ФСБ и Эдуард Бендерский не ответили на запросы издания. До Алены Бендерской дозвониться не удалось. Родственники Максима Якубца не ответили на сообщения, отправленные им в соцсетях.
Поведение экстравагантных миллионеровВ хакерской группе Evil Corp состоит не только зять силовика, но и сын чиновника. Девять лет назад человек с ником 77strel пытался стать автомобильным блогером: видео с гонками на Porsche молодой человек выкладывал вперемежку с роликами, где пытаются разбудить спящего на автобусной остановке бездомного. В 2019 году один из старых роликов процитировал в сюжете об Evil Corp телеканал CBS, показав лицо хакера; в соцсетях этот человек называет себя то «Витя Клочков», то «Серега Усманов», то «Андрей Плотницкий» (под этой фамилией кибермошенник попал в санкционный список). Все фотографии из «ВКонтакте» Плотницкий вскоре удалил, но с помощью сервиса для распознавания лиц удалось найти ту, где он стоит в одной авторемонтной мастерской с членом Evil Corp Кириллом Слободским и машиной, принадлежащей другому участнику группировки Дмитрию Смирнову.
Андрей Плотницкий (Ковальский) и Кирилл Слободской
Человек с шестью псевдонимами — Андрей Плотницкий, он же Strel, «Ожидан» или Андрей Ковальский — оказался сыном бывшего мэра Химок Владимира Стрельченко.
От фамилии отца хакер оставил себе только никнейм для инстаграма — Strel; Стрельченко и сам называл Плотницкого своим сыном. Хакер не ответил на просьбу поговорить, переданную через работавшего с ним юриста; в ответ на сообщение в соцсетях он закрыл свою страницу «ВКонтакте».
Плотницкий был самым публичным членом Evil Corp: например, когда одного из участников хакерской группы задержали за гонки на спорткарах, Плотницкий пожаловался в своем инстаграме, что полиция занимается не тем: «Судьи, менты, чиновники, беспредел вокруг — а они (докопались) до заездов!» Гонка, в которой тогда участвовали хакеры, прошла на скорости 280 км/час — Lamborghini группировки «стирали резину о гладко асфальтированные магистрали олимпийского Сочи», как писали в соцсетях. Со своими желтой Lamborghini и ультрамариновой Audi R8 участники Evil Corp много фотографировались именно в Сочи, который стал любимым курортным направлением Evil Corp; за границу, по данным лично знакомого с ними силовика, они не выезжали уже много лет, опасаясь преследования.
Как писало в недавнем пресс-релизе британское Национальное агентство по борьбе с преступностью, свои операции Evil Corp проводила «из подвалов московских кафе». Одно из них удалось найти по фотографии, обнародованной британскими силовиками.
Кафе «Кьянти» на улице Татарской в Москве, перед которым когда-то парковалась Lamborghini Максима Якубца, с тех пор закрылось; на двери висит объявление «Убедительная просьба не дергать за ручку двери!» — но сама ручка вырвана с корнем. Впрочем, корреспонденту даже не пришлось стучать, чтобы поговорить с нынешними владельцами помещения — поднявшаяся из подвала женщина объяснила, что кафе давно продано.
«Видите, никаких людей на Lamborghini. Здесь благотворительный фонд теперь», — уточнила она, но не сумела вспомнить ни названия фонда, ни имени его основателя. В «СПАРК-Интерфакс» издание не обнаружило благотворительных фондов, зарегистрированных по этому адресу.
Скорее всего, выбор кафе на улице Татарской объясняется тем, что Максим Якубец c Аленой Бендерской живут на соседней улице Бахрушина, рассказал их сосед. «И эти их машины стояли там на протяжении нескольких лет — все их знают», — вспоминает собеседник.
Британские силовики считают стиль жизни Evil Corp «поведением экстравагантных миллионеров»: принадлежащая группировке Audi однажды на несколько минут остановила шестиполосную трассу, устроив дрифт прямо посреди проезжей части в центре Москвы; член Evil Corp Денис Гусев и один из «обнальщиков» размещали в соцсетях фотографии, где они держат на руках живого львенка.
В соцсетях кибермошенники называли себя «Всевышний» и «Олигархович»; даже пароль, который придумал к своей электронной почте Максим Якубец, — «стать миллионером». Самоиронию хакеры проявили только при выборе регистрационных знаков на свои роскошные машины: в номерах четырех из них читается слово «вор». Денис Гусев не ответил на вопросы, направленные ему через соцсети.
Чем еще владеют хакеры из Evil Corp?Люксовые спорткары — слабое место не первого поколения российских хакеров, рассказывает ветеран ФСБ, боровшийся с самыми первыми российскими кибермошенниками. «Молодых талантливых ребят надо было просекать — за этим следила контора. Ловили так же, как издревле ловят человека, который, формально не имея ни рубля в кармане, внезапно выезжает на Ferrari.
Это же молодежь была: они сразу покупали себе самое крутое, что только можно, и отследить таких в студенческой среде не представляло ровным счетом никакого труда, потому что стукачей у нас всегда, слава богу, было достаточно. Лично у меня проблем не было. Году в 2002-м надо было с одним таким пацаном отработать, студентом МФТИ: у него была Lamborghini — кажется, серо-стальная».
Интересно, что почти все связываемые с группировкой автомобили в разное время были записаны только на одного ее участника — Дмитрия Смирнова, утверждает Игорь Бедеров. «На Смирнова записано машин миллионов на 100 (рублей)», — говорит собеседник.
Всего в автопарке Evil Corp, по данным Бедерова, три Lamborghini Huracan, Cadillac Escalade, Chevrolet Camaro, три Mercedes Benz разных моделей, Volkswagen Amarok, одна покрытая узором из черепов и кастетов Nissan GT-R — и одни классические «Жигули». Это не все машины хакеров: ультрамариновая Audi принадлежит Андрею Плотницкому, а еще один серый Lamborghini, который парковался вместе со спорткарами Evil Corp в Сочи, когда-то находилась в распоряжении «Павла Водителя» — так связанный с автомобилем телефон идентифицирует приложение GetContact. Удалось дозвониться до Павла и расспросить его о хозяине машины. «Человек занимается зерном: здесь покупает и в Иран продает, контракты на миллионы долларов. Никакой не киберпреступник, — говорит водитель. — А Lamborghini — это мечта детства у него».
Бедеров предполагает, что люксовые машины могли использоваться хакерами как валюта. «Большая часть машин раздавалась людям по доверенностям — мотоцикл Harley Davidson, например, в Питере выдавался человеку, который, судя по всему, просто работал у них водителем. Иногда таким же образом технику выдают просто в качестве вознаграждения — сталкивался с таким при изучении мошеннических криптопроектов».
ФСБ и DOBROКоманда Максима Якубца — не единственная хакерская группа, связанная с ФСБ. Сотрудничество со спецслужбами дает киберпреступникам множество преимуществ, утверждают собеседники: по сравнению с Evil Corp, например, более чем скромными выглядят личные состояния хакеров из группировки Lurk, которую тоже обвиняют в атаках на банки. Как рассказывалбывший адвокат одного из фигурантов Сергей Поляков, «складывалось впечатление, что они не так уж и наворовали»: «У „обнальщиков“ изъяли старый мерс и 20 миллионов рублей, еще три миллиона изъяли (на обысках) в Туле. Мой клиент — хакер, который якобы украл миллиард, сейчас отдает последнее за услуги адвоката; справляются только потому, что жена работает и мать — учительница французского».
Находящийся в СИЗО участник Lurk Александр Сафонов, с которым корреспондент общался по переписке, признавал, что Lurk действительно во многом была неэффективным «сборищем дилетантов». Но незадолго до задержаний хакерам из Lurk довелось осуществить пару взломов вместе с гораздо более продвинутой группой специалистов.
Сейчас даже никнеймы этих людей не фигурируют в материалах дела группы Lurk, утверждает Сафонов. «Они взламывали банки десятками. Свои разработчики, свой набор инструментов — „ручные хакеры“ наших спецслужб! Были завербованы ФСБ под угрозой тюрьмы, а мелкота наемная — тоже под контролем ФСБ, но меньшим. Кто-то из ключевых — вообще в погонах. Выполняли взломы по приказу кураторов и делились процентом от хищений со спецслужбами. И им было разрешено воровать везде, кроме российских правительственных кормушек — Сбера, ВТБ и пр. А по миру — везде».
«Я подозреваю, что с человеком, который все это организовывал, мы читали одни и те же учебники и ходили в одну и ту же библиотеку», — комментирует рассказ Сафонова собеседник среди ветеранов ФСБ.
Эту историю Александр Сафонов рассказал из СИЗО — на нескольких страницах, написанных от руки. Название абсолютно подконтрольной силовикам хакерской группы он каждый раз выводил одними заглавными — DOBRO. Связаны ли эти люди с Evil Corp — и к какому «добру» отсылает название группировки, выяснить не удалось.