Неуловимый код

Скотт Фербер — патриот, прокурор, служащий Соединенным Штатам Америки; его стараниями за решеткой оказывались наркоторговцы и растлители малолетних. Он работает на совесть, с упорством, иногда его недооценивают из-за скромной прически и мягкого взгляда. Он заслужил право объявить о самом крупном успехе в своей карьере с большой сцены, стоя под золотым гербом минюста или на фоне флага своей страны. Но Феребер сидит перед голой стеной, ведь главная задача сегодня — не сделать ошибки.

Он сидит за столом, опершись на локти, на шестом этаже в здании федерального суда Атланты, штат Джорджия. Тонкий „брикет“ из стекла и бетона гордо возвышается над окрестной застройкой. Фербер выглядит так, будто на него давит груз ответственности, страх допустить оплошность.

Да, обвиняемый признал свою вину. Но приговор будет вынесен только в августе, и Фербер надеется, что суд проявит твердость и наказание будет достаточно строгим, чтобы устрашать. Он тщательно подбирает слова, ищет ответы в материалах, подшитых в папку; он не станет говорить о собственных заслугах и заслугах коллег из Федерального бюро расследований, пусть даже им удалось то, что многим казалось невозможным.

Они упрятали за решетку неуловимого преступника, выдающегося автора программного обеспечения для онлайн-краж; это стало возможным только благодаря совместной работе следственных органов в шести странах, операциям с участием секретных агентов и компьютерных фриков и поддержке со стороны Microsoft и Dell. Подсудимый — Александр Андреевич Панин, 24-летний гражданин Российской Федерации.

ФБР называет его „хакером мирового класса“. Такого титула он удостоился потому, что был не заурядным киберпреступником, укравшим деньги с парочки плохо защищенных счетов, а разработчиком ПО, с помощью которого его клиенты и последователи могли совершать тысячи краж. Панин создал цифровой набор инструментов, позволивший ворам XXI века одним щелчком мыши снимать деньги с чужих счетов и подбирать пароли, играючи блокировать серверы и взламывать чужие почтовые ящики. Панин сделал колоссальные отраслевые знания доступными для масс, пригодными для практического использования и для продажи, и в этом он отчасти похож на мэтров ИнтернетаAmazon.

По сведениям ФБР, его программным пакетом SpyEye были инфицированы свыше 1,4 млн компьютеров, только в 2013 году воры сняли средства более чем с 10 тыс. счетов. Точных данных об общей сумме ущерба нет, но одному из клиентов Панина, известному под псевдонимом Soldier, за полгода удалось получить около 3 млн долларов «дохода». Если такую цифру помножить на количество пользователей, купивших SpyEye (а ФБР известны полторы сотни таких клиентов), получится, что с помощью панинского ПО в масштабах мира было украдено как минимум 450 млн долларов — со счетов в США, Европе, Германии. Но, вероятно, на самом деле эта сумма была куда больше.

В Интернете ведется неравная борьба. На одной стороне стоят умные преступники, которым больше не нужно появляться на месте преступления, бежать, прятаться и маскироваться, воры-невидимки, которых не заснимет камера наблюдения и не опознают охранники.
Современному вору не приходится взламывать сейфы, подбирать коды на цифровых замках, обходить системы сигнализации. Вместо одного большого рискованного дела, которое может принести миллионы, он делает ставку на компьютерные вирусы, оставляющие свою цифровую ДНК на чужих жестких дисках, самостоятельно распространяющиеся, заражающие все новые и новые компьютеры и создающие так называемые ботнеты — компьютерные сети, используемые хакерами в своих целях. С их помощью злоумышленники получают доступ к счетам юзеров и воруют деньги в режиме онлайн. Программа Панина SpyEye превосходно справлялась с этой задачей, она почти в автоматическом режиме внедрялась в компьютеры, воровала пароли, опустошала счета.

Другая сторона в этой борьбе — следственные органы — оказывается в куда менее выигрышном положении. У криминалистов нет всего того, чем они привыкли пользоваться, чтобы раскрывать дела. Ни места преступления, ни записей с камер видеонаблюдения, ни свидетельских показаний, ни примет преступника, ни отпечатков пальцев, ни волос, ни фрагментов эпителия, которые можно было бы использовать для анализа ДНК, ни других следов. Полицейским приходится бороться с призраками, и неудивительно, что злоумышленники в большинстве случаев уходят от наказания. Но иногда правосудие торжествует, общественности предъявляют преступника, и такие люди, как Скотт Фербер, рапортуют об успешном завершении дела. Чтобы получить представление о том, как они работают, стоит встретиться с одним из соратников Фербера по имени Лусиф Харуни, внештатным сотрудником полиции с запада США. Он не состоит на госслужбе, но без него задержание Панина было бы невозможно.

Харуни просит о встрече на нейтральной территории, он не возражает против публикации своей фотографии, но делает все, чтобы никто не вычислил, где он живет, — по соображениям безопасности. Отель на западном побережье, где останавливаются многие командировочные, кажется ему подходящим местом для встречи. За пять минут до условленного времени он появляется в вестибюле в футболке и джинсах: обритая наголо голова, стильная бородка, сумка через плечо, как у велокурьера. Хакеры-преступники выглядят примерно так же. Но Харуни стоит на стороне добра.

На кону в глобальной игре — похищенные миллионы евро, долларов, йен. Харуни — следователь из софтверной индустрии, работающий под прикрытием. Хайтек-криминалист находит следы там, где, казалось бы, их быть не может. Он часто летает в Европу, в Азию, его родители родом из Марокко, он сам родился во Франции, — гражданин мира.

Работодатель Харуни — японская фирма Trend Micro, специализирующаяся на ИТ-безопасности. Босс — немец, под началом которого трудятся еще 24 специалиста, работающих под прикрытием на всех континентах кроме Австралии. Их хлеб — находить убедительные доказательства виновности онлайн-злоумышленников.

В конкурирующих ИТ-фирмах есть аналогичные отделы, сотрудники которых тоже внедряются в цифровое подполье и обзаводятся легендами: выдают себя за программистов-фрилансеров, потенциальных клиентов, чтобы собирать информацию о новинках и планах хакеров.

Все „сексоты“ выполняют задания своего начальства, но информация передается следственным органам, ФБР, полиции ФРГ, Интерполу. Они исследуют жесткие диски, препарируют вирусы и другое вредоносное ПО, а иногда дают свое заключение по хакерам, делающим головокружительную карьеру и, как правило, пользующимся запоминающимися никами: Monstr, MaDaGaSka, mechn1zm. Это внуки Аль-Капоне, Лаки Лучано и Фрэнка Нитти, идущие в ногу со временем. Как и великие гангстеры эпохи сухого закона, они делают состояния. И, подобно предшественникам, они пользуются самым эффективным оружием. Тогда это были автоматы, сегодня — компьютерные вирусы.

В свои 35 лет Харуни — ветеран, он уже 14 лет занимается своим ремеслом в фирме Trend Micro. Он был свидетелем неуклонного роста профессионализма в хакерском цехе, сегодня Харуни отмечает все большее сращивание старой и новой организованной преступности. В будущее он смотрит без особого оптимизма: «Число злоумышленников в Сети увеличивается, их атаки становятся все более точными, методы — все более изощренными». Его суждение о Панине сотоварищи свидетельствует о здоровой уверенности в себе: «Это очень талантливые преступники, но выдающимися программистами их не назовешь».

Харуни впервые услышал о SpyEye в 2009 году. Компании и частные пользователи были напуганы появлением новой программы, которая, по всей видимости, отличалась изменчивостью и с легкостью похищала важные логины и пароли. Примерно в то же время на определенных хакерских форумах появились сообщения о новом инструменте, многофункциональном как швейцарский карманный нож.
Форумы хакеров — это рыночные площади криминального мира. Здесь встречается продавец и покупатель — в открытых и закрытых сообществах, здесь рекламируют и выставляют на продажу ИТ-продукты, торгуют информацией, предлагают услуги, здесь распространяются слухи и публикуется информация о неблагонадежных покупателях и программистах-халтурщиках.

На форумах онлайн-преступники покупают те программы, которые не могут или не хотят написать самостоятельно. Ассортимент достаточно велик, выкладка товара впечатляет. Вот вредоносное ПО, такое как трояны: «Ворует пароли из Opera, Mozilla Firefox, Chrome, Safari. Цена $8». А вот доступ к компьютерам, без ведома владельцев объединенных в ботнет: «2000 ботов за $200. Онлайн 40% времени». Здесь можно арендовать компьютеры для скоординированных сетевых атак, например, чтобы заблокировать работу интернет-магазина: «Продолжительность атаки 1 час — $10, день — от $30, неделя — $150, месяц — $1200». Наконец, разумеется, можно проверить, попадутся ли только что купленные программы в сети популярных антивирусов: «Однократная проверка — 15 центов, недельный абонемент — $10, месячный абонемент — $25».

Большим спросом пользуется сервис Pay per Instal, позволяющий за деньги установить вредоносную программу на гарантированное количество компьютеров. Это своего рода криминальный аутсорсинг, уровень цен зависит от вероятности того, что внедрение ПО пройдет успешно. 1000 успешных атак на компьютеры стоят в России 100 долларов, в Германии — 170 долларов, в Австралии — 300 долларов. Глобальный «микс» — от 12 долларов.

Среди всей этой рыночной суеты и при таком богатстве выбора в 2009 году на форумах впервые появился SpyEye. Базовая версия, как сообщал продавец, стоила 1000 долларов, полная — существенно больше, 8500 долларов. Многим пользователям хватало базовой, говорит Харуни, «доукомплектованной парочкой модулей».

Возможность получить программу, скроенную по лекалам заказчика, была большим преимуществом SpyEye. Онлайн-преступники платили только за то, что, по их мнению, им действительно было нужно: за модули, заточенные на хищение средств со счетов в банках США, Великобритании, Германии или Швейцарии. У Панина было всё.

Вдобавок он разработал инструмент, позволявший обнулять кредитные карточки. Стоимость 120 долларов. Такие «грабли», дооборудованные защитой от распространенных антивирусов, предлагались уже за 200 долларов. А если онлайн-ворам было лень вручную вбивать данные по каждой транзакции, SpyEye давал возможность автоматического перевода средств для избранных банков; в пакете с «граблями» и антивирусом за удобство предлагалось заплотить в общей сложности 800 долларов. Еще 200 долларов Панин просил за Anti-Report — коварную функцию, которая скрывала от владельца счета информацию об автоматических списаниях.

Интернет-преступники расплачивались с Паниным денежными переводами на счета сомнительных финансовых агентств, таких как Liberty Reserve, сбрасывали деньги в таких системах, как ukash, или прибегали к услугам профессиональных посредников-отмывщиков.

На помощь тем, кто по каким-либо причинам не мог воспользоваться ни одной из этих возможностей, опять-таки приходил SpyEye. За 30 долларов преступники получали модуль под названием Billinghammer, который создавал интернет-магазин, служивший исключительно для продажи несуществующего товара с оплатой чужими кредитными картами. Программная отмывка денег.

Наконец, Панин добавил экстравагантную опцию, вызвавшую негодование на форумах: если SpyEye устанавливался на компьютер, ранее инфицированный конкурирующим продуктом Zeus (Зевс), он становился «убийцей Зевса». Окрыленный гордостью, Панин какое-то время использовал это в своей рекламе SpyEye, выдержанной в черных и кроваво-красных тонах.

Zeus появился на рынке еще в 2006 году и предназначался для платежеспособных, «заслуженных» хакеров. Он стоил недешево, разработчик запрашивал 5000 долларов. SpyEye сделал онлайн-кражи доступными для хакеров-любителей и новичков. Эстеты среди хакеров высмеивали SpyEye; им не нравился программный код, лишенный элегантности. Впрочем, на результатах это не сказывалось.

Когда Лусиф Харуни пошел по следу призрака, стоявшего за SpyEye, он действовал так же, как и обычный следователь. Отталкиваясь от материалов, имевшихся в его распоряжении, он изучал зараженные SpyEye компьютеры в надежде найти в программном коде зацепку.
Программистам, пишущим программы для интернет-краж, приходится принимать множество решений, в частности, о том, как инфицированные компьютеры будут получать основные команды. Их можно прописать в коде самого вируса, а можно пойти другим путем, когда хакер дистанционно управляет зараженными компьютерами через командный сервер. Оба варианта имеют свои плюсы и минусы.
В первом случае управление компьютером осуществляется напрямую, что более надежно. Недостаток в том, что следователи, такие как Харуни, находят больше цифровых следов и информации об атаках.

Программист Zeus из осторожности отказался от этого варианта. Панин остановился на нем — возможно, ему было лень делать лишнюю работу, а возможно, из самонадеянности: он был уверен, что не попадется. Но Харуни нашел в коде вредоносной программы небольшой зашифрованный фрагмент, который сумел расшифровать и который включал в себя логин bx1.

Харуни знал, что большинство хакеров пользуется ограниченным количеством ников, в частности, чтобы оставаться узнаваемыми для своих партнеров. Он начал искать на специализированных форумах участника с именем bx1, и вскоре его поиски увенчались успехом. За несколько недель он нашел в общей сложности 5 пользователей bx1 и 7 электронных адресов, которые, в свою очередь, позволили выйти на 29 сайтов. Их администратор — bx1 — продавал через них свое нелегальное ПО.

Харуни собирал все больше информации о bx1, который был болтлив, вспыльчив, заносчив и самонадеян. Он хвастал своими успехами, жаждал славы. Так, он признался одному американскому блогеру, который занимается журналистскими расследованиями: «I hacked the guy who fucked most banks» («я хакнул парня, обжулившего большинство банков»). Харуни шел по верному следу.

Но чем ближе он подбирался к bx1, тем чаще наталкивался на информацию о втором хакере, известном в Сети под никами Harderman и Gribodemon. Со временем Харуни убедился, что Harderman, он же Gribodemon — это и есть программист SpyEye, и что bx1 написал только отдельные фрагменты кода.

10 января 2010 года Harderman появился в эксклюзивном хакерском форуме Darkode и принялся рекламировать свой SpyEye. 29 июня он снова писал в Darkode: «SpyEye — this is a bank trojan with form grabbing possibility» («SpyEye — это банковский троян, позволяющий перехватывать формуляры»). А 16 сентября 2010 года Harderman гордо объявил, что теперь SpyEye помогает воровать и данные о кредитных картах. Harderman не отличался болтливостью, но, как и bx1, допускал ошибки, которыми воспользовался Харуни и его коллеги по цеху.

6 июля 2011 года Harderman за 8500 долларов продал полную версию программы сотруднику ФБР, работавшему под прикрытием. Деньги были перечислены на счет в Liberty Reserve, сама программа была переслана через ресурс sendspace.com, позволяющий обмениваться „тяжелыми“ файлами.

Кроме того, до релиза версии 1.3 Harderman пользовался для переговоров с клиентами несколькими электронными адресами. Затем он перешел на интернет-мессенджеры, обеспечивающие большую анонимность, но было уже поздно.

Харуни и другим агентам удалось окольными путями связать некоторые из электронных адресов с Александром Паниным. Кроме того, ФБР конфисковало важный сервер ботнета SpyEye на севере штата Джорджия. На жестком диске хранилось около 1000 Гб информации, в том числе доказательтсва, что с помощью SpyEye были осуществлены атаки на 253 банка в США и за их пределами. К тому же выяснилось, что сервер получал команды из Алжира, родины bx1.

Bx1, он же airlord1988, он же princedelune, был задержан в январе 2013 года в аэропорту Бангкока, по пути из Малайзии в Алжир. Как считает ФБР, на самом деле bx1 зовут Хамза Бенделадж, и когда таиландские полицейские надевали наручники и уводили его, когда его представили журналистам на пресс-конференции, с лица Бенделаджа не сходила улыбка, за что bx1 прозвали «счастливым хакером». Все обвинения он решительно отвергает.

Панина схватили на полгода позднее. Прокурору Скотту Ферберу и следователю Лусифу Харуни пришлось запастись терпением: Панин был осторожнее, чем bx1. Он меньше ездил по миру, вел дела в основном из Москвы и чувствовал себя в безопасности, поскольку между США и Россией нет соглашения о выдаче.

Но летом прошлого года Панин отправился в Доминиканскую республику. Зачем он это сделал, остается неясным; возможно, ему просто хотелось отдохнуть. Дела шли не так хорошо, как прежде. В марте 2012 года Microsoft в сотрудничестве с US-Marshalls заблокировал несколько серверов, управлявших десятками ботнетов со SpyEye. Кроме того, один французский хакер сумел удалить из ПО Панина защиту от копирования. Преступник сам стал жертвой, и возможности обороняться у него не было. Каждый раз, когда он публиковал очередной апдейт, француз ломал защиту.

В июне прошлого года Панин был задержан доминиканской полицией. На фотографии, опубликованной Интерполом после задержания, запечатлен молодой человек в плохом настроении, с коротко стрижеными волосами и трехдневной щетиной на фоне голубого флага Интерпола.

Прокурор Скотт Фербер не комментирует обстоятельства задержания, ставшие причиной дипломатического скандала (хоть и не самого крупного) между США и Россией. Фербер боится сделать ошибку, тем более сейчас, перед самым оглашением приговора. Все идет хорошо. Панин признал вину, и в августе суд в Атланте объявит меру наказания. Ему грозит до 30 лет тюрьмы.

Адвокат из Нью-Йорка, которому часто приходится защищать в суде эмигрантов из России, надеется на снисхождение суда. Он убежден, что Панина нельзя наказывать за все преступления, совершенные его клиентами с помощью SpyEye. Дескать, были и другие россияне, изобретавшие нечто выдающееся, что впоследствии без их ведома и воли использовалось в преступных целях; один из них — конструктор всемирно известного автомата Михаил Калашников.

Едва ли американский суд сочтет такой аргумент смягчающим вину