Как ФБР использовало украинского хакера Максима Попова. Начало.

Холодным днём 18 января 2001 года Максим Игоревич Попов, 20-летний украинский парень, нервно толкнул двери американского посольства в Лондоне. Его можно было принять за участника программы по студенческому обмену, который пришёл получать визу, но самом деле Максим был хакером, участником восточноевропейской хакерской группы, которая атаковала американские коммерческие компании, зарабатывая на вымогательстве и фроде. Прокатившаяся волна таких атак выглядела словно предвестник нового этапа Холодной войны между США и организованными хакерскими группировками в странах бывшего советского блока. Максим Попов с детским лицом, в очках и с короткой стрижкой, собирался стать первым перебежчиком в этой войне.

Этому предшествовали четыре месяца телефонных переговоров и два предварительных визита в посольство. Сейчас Попов встретился с помощником юридического атташе ФБР, чтобы предъявить паспорт и утвердить окончательные договорённости. Закончив с формальностями, вскоре он побрёл по зимнему холоду Гросвенор-сквер в гостиничный номер, который ему сняло посольство. Он открыл свой ноутбук, а также гостиничный минибар, и читал новую почту, опустошая маленькие бутылочки виски, пока не вырубился. На следующий день 19 января 2001 года Попов в сопровождении агентов ФБР приехал в аэропорт и сел на рейс авиакомпании TWA в США.

Максим нервничал, но это было радостное возбуждение. Он оставил родителей, институт и всё, что было знакомо, но в США он станет больше, чем просто послушным сыном и студентом. Попов находился в розыске и участвовал в международном заговоре, как персонаж одного из киберпанковских романов, которые он так любил. Он станет предоставлять услуги правительству за изрядный гонорар, используя свои знания в сфере информационной безопасности, а потом запустит интернет-стартап, чтобы заработать состояние и стать богатым. Таковы были планы.

Но когда самолёт приземлился, стало понятно, что договор работает немного иначе. Дружелюбные в прошлом агенты ФБР бросили Максима в изолятор, а через час вернулись с федеральным прокурором, адвокатом и условиями сделки, которые не обсуждались: Попов станет их информатором, будет работать без выходных, чтобы заманить подельников в ловушки, расставленные ФБР. Если он откажется, то пойдёт в тюрьму.

Максим был полностью обескуражен. Он понял, что его обвели вокруг пальца. Парня поместили под круглосуточную охрану ФБР на конспиративной квартире в Фер Лейкс, Виргиния, и приказали общаться со своими друзьями в русскоязычных чатах, в то время как бюро всё записывало. Но у Максима были собственные козыри в рукаве. Он только делал вид, что сотрудничает, а сам использовал непонятные американцам разговорные словечки, чтобы предупредить товарищей о том, что правительство США взяло его под стражу. Когда агенты в конце концов через три месяца получили переведённые логи, они пришли в ярость. Максима сразу вывезли из конспиративной квартиры в камеру маленькой местной тюрьмы, собираясь предъявить обвинения по прошлым киберпреступлениям. Украинец вёл себя вызывающе: «Идите в ж%пу, — сказал он. — Вы не знаете, с чем имеете дело». Но парень был испуган. Прокуроры со всей страны выстраивались в очередь, чтобы участвовать в процессе. Казалось, что ничто не спасёт от безрадостного будущего тюремных клеток и бесконечных американских судов.

Иначе думал Эрнест Гилберт (Ernest “E. J.” Hilbert), агент из захолустного офиса ФБР в Санта-Ане, Калифорния. Он лучше всех знал, что Попов нужен правительству.

Гилберт понял, что США находится на решающем этапе развития компьютерной преступности. В течение 90-х хакерство было спортом для развлечения. Но в 2000-е годы первые толчки надвигающегося землетрясения донеслись из Восточной Европы. Признаки были повсюду, если знать, куда смотреть: изменения в типах взламываемых веб-сайтов, объём спама и фишинговых атак, всплеск фрода по кредитным картам после многих лет постоянного снижения. Хакерство превращалось в профессиональное и прибыльное занятие.

В 2001 году украинские и российские хакеры запустили сайт CarderPlanet, который дал подпольному сообществу дополнительное опасное преимущество: масштабируемость. CarderPlanet работал как всеобщий рынок для покупки и продажи номеров кредитных карт, паролей, угнанных банковских аккаунтов и конфиденциальных данных. Сайт размещал платную рекламу, здесь была система рейтингов в стиле eBay, хорошо организованный форум. Впервые начинающий кардер мог найти все необходимые материалы для работы на одном-единственном сайте. Регистрировались тысячи новых пользователей.

Гилберт пришёл к выводу, что может взломать эту систему. Но сначала ему нужно было расколоть обозлённого украинского хакера, который однажды уже надурил ФБР.

Максим Попов вырос в 1000-летнем городе Житомир в двух часах езды к западу от Киева в то время, когда Украина делала первые шаги после распада Советского Союза. Он рано освоил компьютеры, получив первое образование в школе на неуклюжих клонах IBM XT украинского производства под названием «Поиск-1». На 15-летие отец купил ему домашний компьютер и модем, и Максим впервые вышел в интернет.

Воспитанный на киберпанковской научной фантастике и фильме «Хакеры» 1995 года, Максим Попов с самого начала знал две вещи. Во-первых, он станет хакером вне закона. Во-вторых, он заработает на этом деньги. Максим нашёл много единомышленников на русскоязычных форумах. В конце 90-х бывшие советские республики буквально кишели умными молодыми программистами, у которых в то же время не было особенных карьерных перспектив. Кардеры и хакеры запустили свою собственную доткомовскую золотую лихорадку, воруя кредитные карты с американских интернет-магазинов.

Попов не был настолько технически подкован, как многие его коллеги, но у него был талант манипулирования людьми и хорошее знание английского. Он начал зарабатывать на обналичке денег с украденных кредиток, используя практически безупречный английский для подтверждения по телефону фродовых заказов в американских магазинах. Бизнес отлично шёл примерно год, но магазины постепенно начали с подозрением относиться к адресам доставки из Восточной Европы, так что схема протухла.

В то же время местные бандиты узнали о больших заработках Максима и начали навещать его, вымогая деньги. Попов сообразил, что и сам может применить схему вымогательства в более изящном виде. Он с друзьями взломал компьютеры одной компании, скопировал базу пользователей, а затем сам Попов связался с компанией и предложил услуги «консультанта по информационной безопасности», чтобы факт взлома остался в секрете, а базу не опубликовали — с соответствующей оплатой за свои услуги.

В июле 2000 года они взломали E-Money, ныне не существующую электронную платёжную систему из Вашингтона, и украли данные кредитных карт 38 000 клиентов. С веб-сайта Western Union они добыли ещё 16 000 записей о пользователях, с именами, адресами, паролями и банковскими карточками. Попов шёл на контакт с компаниями и предлагал защиту от взломов и уничтожение украденных данных за небольшую оплату консалтинговых услуг в размере от $50 000 до $500 000.

Однако тактика принесла неприятный результат. Компания E-Money затягивала переговоры, втайне связавшись с ФБР, а Western Union публично объявила о взломе, лишив хакера надежды получить деньги. Его усилия ни к чему не привели, а давление соседских группировок нарастало. Попов чувствовал себя в западне, оставаясь в Житомире, в окружении мошенников средней руки и под угрозой насилия. Он начал размышлять о смелом шаге: перейти на сторону американской полиции. Максим подумал, что может сбежать из Украины и выдать себя за исправившегося хакера и эксперта компьютерной безопасности в стране открытых возможностей.

В итоге он оказался заперт в тюрьме Сент-Луиса неподалёку от офиса Western Union. По крайней мере до тех пор, пока агент Гилберт не пришёл за ним.

Семейный мужчина строгих правил, словно с экрана сериалов 50-х годов, Гилберт выглядел в точности так, как должен выглядеть федеральный агент, с серьёзным взглядом и аккуратными зачёсанными тёмными волосами. В возрасте 29 лет он отказался от карьеры школьного учителя истории, чтобы исполнить давнюю мечту и надеть значок ФБР. С первого дела его поставили заниматься киберпреступлениями: он вычислил опытного уральского хакера, который проник в компьютеры коммерческой компании в Анахайме, Калифорния, а потом помог организовать ловушку, чтобы выманить этого хакера в Сиэттл, где ФБР могло арестовать его. Гилберт понимал хакеров. Будучи пареньком из пригорода Сан-Диего, он и сам баловался невинным хакингом, взяв себе ник Idolin — древний термин, означающий призрак или дух.

Гилберт знал, что владеющий русским языком и опытный мошенник Попов способен проникнуть в такие места, куда ФБР вход заказан, через подпольные чаты и форумы, устанавливая связи с членами сообщества и снабжая бюро столь необходимыми уликами и оперативной информацией. Хитрость заключалась в том, чтобы начать осторожно обхаживать Попова, поглаживать его самолюбие и демонстрировать уважение его хакерскому мастерства.

Гилберт обсудил план с прокурором Лос-Анджелеса, который вёл дело против Максима Попова, и вскоре они двоём встретились с украинским хакером и его адвокатами в офисе прокурора Сент-Луиса. Они изъяснили условия сделки. Попов отсидит положенное по делу в Миссури, а правительство объединит остальные дела и передаст в Южную Калифорнию, где хакер отработает все обвинения, став агентом под прикрытием для ФБР.

На этот раз от Максима не требовали закладывать друзей. Его целями выбрали незнакомцев, к которым у хакера не было симпатии. Гилберт назвал это миссией по сбору разведывательных данных, как в фильмах про Джеймса Бонда. «Я действительно уважаю имеющиеся у вас навыки», — сказал он. Попов подписал сделку с признанием вины и принял предложение правительства в марте 2002 года. У Гилберта появился мул.

Попов не мог отказаться от шанса продемонстрировать свои навыки. Не успел он сойти с рейса Con Air в Калифорнию, как уже сидел за компьютером, предназначенном для изучения законодательства, в библиотеке тюрьмы Санта-Аны. Он обнаружил, что машина подключена к локальной сети тюрьмы, и в несколько нажатий клавиш Максим разослал «оскверняющие комментарии и замечания» — как было указано потом в дисциплинарном отчёте — на принтеры во всех офисах. Надзиратели уложили его лицом в пол, но Попов не жалел о содеянном. В тюрьме даже самый маленький хак стал глотком свежего воздуха.

Долгожданное облегчение пришло в августе, когда Гилберт и ещё один агент забрали хакера из камеры на его первый рабочий день. Во время процедуры, ставшей ежедневной рутиной, ноги и руки арестованного сковывались цепями, пока его выводили к машине. После краткосрочной поездки они открывали заднюю дверь офисного здания и заводили Максима в маленькую комнату, обставленную офисной мебелью, с несколькими компьютерами под Windows, конфискованными во время антипиратской облавы. Гилберт пристёгивал наручники к столу напротив компьютера и кириллической клавиатуры. Максим был в экстазе. По сравнению с тюрьмой, серый офисный кабинет казался президентскими апартаментами. Здесь он мог сделать что угодно.

Операцию назвали Ant City. Вернувшись в онлайн, Попов взял себе новую личность, начал зависать в подпольных чатах и публиковать сообщения на CarderPlanet, выдавая себя за выдающегося украинского скаммера, которому постоянно нужны кредитки. Его первой крупной целью стал один из верхушки в секретной иерархии CarderPlanet: таинственный украинский хакер, известный только по нику Script. Попов связался с ним в начале сентября, и двое стали переписываться напрямую в ICQ. Спустя две недели Попов договорился о покупке украденных кредиток на $400. Отправляя электронную информацию покупателю в Калифорнию, Script становился преступником в американской юрисдикции. Впоследствии полученные улики приведут к задержанию хакера американской полицией, хотя его и выпустят на свободу спустя шесть месяцев [ныне является депутатом Верховной рады Украины — прим.пер.].

Такие «контрольные закупки» украденных карточек являлись ключевым элементом стратегии Гилберта: разбросать немного денег для Попова стало простым способом установления контактов, а получив карточки, Гилберт мог через кредитные компании выяснить источник утечки. Попов продолжал заключать сделки и собирать разведданные.

Иногда они работали несколько часов, а иногда трудились по 10 часов в сутки. Независимо от успехов хакера, каждый день заканчивался одинаково: Гилберт возвращался домой к семье, а Попов — в грязную тюремную камеру. Но однажды на День Благодарения федеральный агент сделал неожиданный сюрприз своему подопечному. Когда Попов приехал на работу, он увидел на столе проектор, направленный на стену. Гилберт нажал пару кнопок на ноутбуке — и на экране появились вступительные титры фильма «Властелин колец: Братство кольца», который только что вышел на DVD.

На обед Гилберт принёс настоящую праздничную еду: фаршированную индейку с клюквенным сиропом и сладкой картошкой и даже тыквенный пирог. Максим был тронут, ведь Гилберт решил провести часть выходных с ним, а не с собственной семьёй.

Агент Гилберт был так доволен успехами Попова, что купил ему обед на День Благодарения и принёс проектор с фильмом «Властелин колец»
Слухи об операции Ant City распространялись в Бюро, и со временем Гилберт стал получать запросы из других подразделений ФБР на расследование конкретных взломов. Самый крупный произошёл в феврале 2003 года: у процессинговой компании Data Processing International увели 8 млн банковских карточек клиентов. Попов начал спрашивать о DPI на форумах, и один из его знакомых, 21-летний российский студент под ником RES сказал, что знает троих хакеров, которые осуществили этот взлом.

Попов смело заявил, что желает купить все 8 млн карточек за $200 000, но сначала хочет получить небольшой образец. Этот образец позволил бы Гилберту определить, что карты действительно получены с компьютеров DPI. Но RES только посмеялся над предложением. Относительно скромные прошлые покупки Попова никак не указывали на то, что у него есть двести тысяч долларов.

Гилберт придумал решение. Максима одели в уличную одежду и в сопровождении агентов ФБР для безопасности отвели в ближайший банк, который согласился сотрудничать. Сотрудники банка вынесли из хранилища в служебное помещение $200 000 стодолларовыми купюрами и разложили на столе. Гилберт снял наручники с Максима и записал короткое видео, как тот тасует пачки наличности.

«Смотри, я показываю баблос, — сказал Попов по-русски. — Деньги настоящие, мать твою, без фигни. Я положу их на свой счёт». Он достал купюру из пачки и поднёс близко к камере: «Все долбаные водяные знаки, всё дерьмо тут. Я показываю тебе в упор, — он пренебрежительно бросил купюру на стол. — Так что зови братву и давай блин решать дело!»
Видео удовлетворило русских. Определить личность RES оказалось ещё проще. Попов упомянул, что часть денег заработал на работе в компании «Гермес-Пласт», которая занимается изготовлением пластиковых карт. Предполагая, что русский хакер сам попробует устроиться в эту компанию, он дал ссылку на их веб-сайт и адрес электронной почты предполагаемого босса Анатолия Фельдмана.

RES выслал резюме на адрес Фельдмана в тот же день, вместе с отсканированной копией своего национального паспорта Российской Федерации.

Конечно же, «Гермест-Пласт» была вымышленной компанией, которую организовали Гилберт с Поповым. Теперь ФБР знало настоящее имя RES, его дату рождения и адрес. Такая на удивление простая уловка срабатывала снова и снова. Одну вещь Попов всегда знал о восточноевропейских хакерах: им всегда нужна работа.

Продолжение следует...подписывайтесь на канал чтобы не пропустить