Как ФБР использовало украинского хакера Максима Попова. Продолжение.

Продолжение.

Спустя 8 месяцев работы на бюро, 8 апреля 2003 года Максима Попова вывели из тюрьмы Санта-Аны и сопроводили в суд для вынесения приговора. По ходатайству американского правительства федеральный судья Дэвид Картер (David Carter) вынес приговор о погашении срока заключения и трёх годах судебного надзора. Судья немедленно приказал запечатать все записи об этом приговоре.

Спустя 28 месяцев после того, как он сел на самолёт в США, Максим Попов наконец-то оказался на свободе — посреди калифорнийского округа Оранж-каунти, в 13 километрах от Диснейленда и на другой стороне планеты от родного Житомира. Его иммиграционный статус был неясен. У Максима не было грин-карты или номера социального страхования, так что он не мог получить легальную работу в Америке или водительские права. Гилберт позаботился, чтобы ФБР сняло ему квартиру возле пляжа и выплачивало тысячу долларов ежемесячной «стипендии» за участие в операции Ant City. Но Попов так и не смог привыкнуть к рутинной жизни в пригородном зное посреди автострад и торговых центров. В один из июльских дней он стоял на автобусной остановке возле офиса пробации, когда к нему подошёл местный житель, он был пьян, вёл себя агрессивно и ругался. Максим Попов ударил его несильно, но местный житель потерял сознание и распластался на тротуаре. В панике Максим позвонил в ФБР, уже представляя, что его отправят обратно в тюрьму. Он твёрдо решил для себя: если удастся выбраться из этого, он вернётся домой.

Судья Картер дал разрешение Попову навестить Украину, с условием обязательного возвращения до 18 августа в Калифорнию, где он должен прожить остаток своего трёхлетнего срока под судебным надзором. Гилберт отвёз его в аэропорт и попрощался, точно зная, что больше никогда его не увидит.

Операция Ant City завершилась. По оценке Гилберта, за это время на чёрном рынке было выявлено около 400 000 украденных кредиток, и более 700 компаний предупреждены, что их взломали хакеры из Восточной Европы. Против десяти подозреваемых выдвинули обвинения, в том числе против Script, но никого не экстрадировали.

Гилберт поддерживал связь с Поповым после его возвращения на родину. Тот основал свой бизнес, открыл компанию под названием Cybercrime Monitoring Systems (Cycmos). Как описывает её сам Попов, компания отслеживает подпольные рынки и продаёт разведданные компаниям, против которых готовится или уже совершена атака. Гилберт подтвердил, что так и есть. Судя по всему, Максим Попов начал применять в своём бизнесе навыки, полученные во время операции Ant City. Он также присылал Гилберту постоянный поток наводок и информации, по старой дружбе.

В канун нового 2004-го года мобильник Гилберта зазвонил: «Эй, знаешь что? — это говорил Попов своим ровным, приятным акцентом, — Здесь кое-что новенькое». Он объяснил, что речь идёт о большом взломе. И, что характерно, на этот раз жертвой стала не какая-то компания, а само ФБР.

Попов следил за одной хакерской группой, которая специализировалась на работе с сетевым протоколом доинтернетовской эпохи X.25, который использовался в 70-е и 80-е годы в первых сетях общего пользования с коммутацией пакетов. К 2004 году протокол X.25 устарел, как Betamax по отношению к VHS, но старые сети всё ещё поддерживали его для обратной совеместимости в тысячах корпораций и государственных агентств по всему миру.

Русские хакеры рылись в этих древних сетях, и однажды натолкнулись на кое-что интересное. Они внедрились в компьютерную сеть дата-центра AT&T в Нью-Джерси, где по контракту были установлены почтовые серверы ряда правительственных агентств США. Одним из них было ФБР, что давало доступ русским к переписке всех агентов с почтовыми адресами fbi.gov.

Гилберт повесил трубку и сразу позвонил начальнику. Вскоре он был на самолёте в Вашингтон, чтобы возглавить расследование. Гилберт добился, чтобы ФБР выделило сумму $10 000 для оплаты услуг компании Cycmos, которая достанет какой-либо материал, украденный с серверов ФБР, и установит личности кого-либо из хакеров, которые участвовали в операции. Попов передал два документа, по его словам, полученные из почтовых ящиков ФБР: 11-страничное досье на одного из администраторов CarderPlanet под ником King Arthur, а также электронные таблицы с перечнем киберпреступных целей ФБР и Секретной службы, разделённые по юрисдикциям.

Список целей был полугодовой давности и снабжён пометками “Law Enforcement Sensitive” («Конфиденциальная информация правоохранительных органов») и “Do not transmit over the Internet” («Не передавать через интернет»). Для сообщества это потенциально была золотая жила, потому что документы содержали ники — а в некоторых случаях и реальные имена — более 100 хакеров, попавших под прицел американского правительства, с поверхностными пометками вроде «приоритетная цель» или «в данный момент сотрудничает с правительством». Об утечке проинформировали Белый дом, что подняло ставки ещё выше. Гилберт попросил Попова добыть больше информации.

Максим начал копать. Он указал Гилберту подпольный чат, где можно найти лидера хакерской группы, которая специализируется на X.25. Вскоре Гилберт сам общался с Леонидом Соколовым, студентом Санкт-Петербургского университета. В беседе он подтвердил взлом дата-центра AT&T и кражу документов. Гилберт получил, что хотел. Это было самое крупное дело в его карьере.

Теперь Хейман по громкой связи требовал ответа: кто такой Пинхаус? Гилберт объяснил, что Пинхаус был активом ФБР, который помогал со срочным расследованием. «Мне сейчас нужен этот парень», — сказал он. Хейман не поколебался. Он настаивал, что против украинца следует выдвинуть обвинение и добиваться его экстрадиции. Он требовал от Гилберта выдать его реальное имя.

Гилберт отказался. У Хеймана оставалось право завести уголовное дело на Пинхауса под его псевдонимом и запросить у ФБР через официальные каналы информацию о его настоящем имени. Но от Гилберта он его не получит.

Такой отказ был неприемлем для прокурора из Бостона — того города, где до сих пор помнили самый грязный скандал с информаторами ФБР. Прокуратура отправила в тюрьму бывшего агента ФБР, который десятилетиями прикрывал убийцу и одного из гангстерских главарей в Южном Бостоне за то, что тот работал информатором. «Это ещё одно дело Уайти Балджера!», — рычал прокурор.

Начальник приказал Гилберту выйти из комнаты. Гилберт пошёл к своему компьютеру и отправил сообщение Попову, чтобы тот держался подальше от EMC: «Брось это, хорошо? — вспоминает Гилберт текст. — Это важно. Все изучают эту ситуацию. Тебе нужно бросить».

Гилберт вернулся к делу AT&T. Соколову предъявили обвинение на закрытом заседании в Нью-Джерси, был выдан секретный ордер Red Notice в Интерпол на его арест, как только он покинет Россию и заедет в страну, подписавшую договор об экстрадиции с США. Попов получил гонорар и официальное благодарственное письмо от ФБР, которое мог разместить на своём веб-сайте: «Мы выражаем нашу признательность за оказанное содействие».

Всё дело так и осталось скрыто в тёмных глубинах истории ФБР. Единственным публичным упоминанием о взломе FBI.gov стала статья в Newsweek в 2005 году, и бюро преуменьшило инцидент, заявив о том, что никакой важной информации не похищено.

Спор с бостонским прокурором почти стёрся из памяти Гилберта. Но четыре месяца спустя из бюро неожиданно поступил приказ прервать всякие контакты с Поповым и передать более 600 страниц логов за 18 месяцев онлайновой переписки. Вскоре после этого его перевели из отдела по борьбе с киберпреступностью в подразделение по борьбе с терроризмом.

Гилберт погрузился в новое задание, но со временем заметил кое-что странное. Его отстраняли от любых поощрений, а агенты, которых он знал десятилетиями, перестали с ним разговаривать. В августе 2006 года он подал заявку на позицию начальника в лос-анджелесское подразделение. Когда информация о вакансии дошла до штаб-квартиры, Гилберта неожиданно вычеркнули из списка кандидатов и сказали, чтобы он не заявлялся повторно. «Что за чертовщина происходит?», — спросил Гилберт своего начальника. Тогда он и узнал то, что было известно всем окружающим: в отношении него ведётся расследование. Вот уже целый год управление Министерства юстиции Генерального инспектора вело дело по подозрению в мошенничестве и заговоре против правительства, а также утечке конфиденциальной информации правоохранительных органов — того предупреждения, которое он отправил Попову по поводу EMC.

Гилберт был опустошён. Он всегда мечтал о работе в ФБР, но расследование может опустить шлагбаум для его повышения по карьерной лестнице, а у него дома двое детей и третий на подходе. Он начал потихоньку искать возможности трудоустройства в частном секторе, и в феврале 2007 года он зашёл в кабинет начальника, сдал оружие, удостоверение и уволился. То самое выдающееся расследование в итоге положило конец его восьмилетней карьере в ФБР.

Гилберт хорошо вёл дела на новом рабочем месте как консультант, когда Попов снова позвонил ему, совершенно неожиданно. С момента их последнего разговора прошло более шести лет, и на этот раз у Попова не было делового предложения и никакой ценной информации. Только благодарность.

«Он позвонил сказать мне спасибо за то, как я относился к нему, и за своё время пребывания в тюрьме, и как это всё было сделано, — сказал Гилберт мне за обедом в семейном ресторане Оранж-каунти в начале 2013 года. — Сейчас он приехал домой и изменил свою жизнь, у него теперь семья, и он обязан мне всем, что у него есть — это его слова».
Звонок от Попова только расшевелил в Гилберте то смутное ощущение, что правительство несправедливо с ним обошлось. Даже после его увольнения офис Генерального инспектора продолжал расследование против него, а однажды даже послал агентов на рабочее место Гилберта для допроса. В конце концов, только в 2009 году расследование было прекращено, когда Министерство юстиции формально отказалось выдвигать обвинение.

В беседе со мной Максим Попов сначала рассказал то же самое, что и Гилберт. Но со временем появился дополнительный подтекст. Попов затаил личную обиду на EMC за ту историю. Дело в том, что к моменту звонка Гилберту он уже урегулировал сделку с EMC.

Оказалось, что одновременно с жалобой прокурору корпорация EMC втайне заключила сделку с Поповым в 2005 году, говорит он, и заплатила ему $30 000 сразу, а также обещала ещё $40 000 четырьмя платежами за четыре года при условии, что украденный код VMware не попадёт в открытый доступ. Он выполнил свою часть сделки. Код никогда не был опубликован, и сам факт того, что ценнейшие активы корпорации находятся в руках иностранных хакеров, остался неизвестен акционерам и клиентам компании.

Спустя четыре года он связался с EMC, чтобы компания выплатила ему остаток от общей суммы $70 000, но компания отказалась платить, говорит он (представители EMC отказались от комментариев). К тому моменту EMC выделила VMware в отдельный бизнес. Для Попова это выглядело, словно они хотят сделать вид, что ничего и не было.
Hardcore Charlie,
хактивиста из движения Anonymous. 23 апреля 2012 года, почти через восемь лет после кражи, первые 520 строк исходного кода VMware появились в открытом доступе.

Несмотря на возраст исходников, информация об утечке наделала шуму в компьютерном мире и подняла на уши сотрудников в офисах VMware в Пало-Альто. Взлом 2004 года давно испарился из корпоративной памяти, а часть украденного кода ядра по-прежнему использовалась в последней версии продукта. Директор по безопасности Иэн Малхолланд (Iain Mulholland), бывший офицер британской армии, развернул мощную операцию по минимизации ущерба и нанял всех аудиторов, до которых только мог дотянуться, для поиска уязвимостей в коде ядра. Компания выпустила первый из многочисленных обновлений безопасности, которые латали найденные дыры, уже через 10 дней. Ко времени, когда Попов выложил более объёмный фрагмент кода в ноябре 2012 года, все критические уязвимости были устранены.

Такие действия не очень похожи на действия обычного консультанта по информационной безопасности. Когда я слегка надавил на Максима, он наконец-то признал очевидное: взлом EMC и почтовых серверов ФБР был не простой атакой случайного хакера.

«Технически, это сделали мы», — сказал мне Максим в телефонном разговоре поздно вечером.
Соколов, тот питерский студент, против которого ФБР выдвинуло обвинения и которого объявил в розыск Интерпол, с самого начала работал вместе с Поповым, выжимая деньги после взломов X.25. «Он лучший из лучших», — сказал Попов. Когда они проникли в дата-центр AT&T, Попов пришёл к выводу, что телекоммуникационный гигант легко заплатит $150 000, чтобы узнать подробности взлома и защитить свои правительственные контракты. Только когда AT&T отказалась от сделки, Попов позвонил Гилберту и сказал о взломе, надеясь, что ФБР заплатит за информацию.

Заключив сделку с Гилбертом, Попов уговорил Соколова побеседовать с агентом в чате, чтобы тот «раскрыл» преступление. Попов говорит, что сам Гилберт не был участником заговора. «Думаю, он что-то подозревал, на самом деле, — говорит Попов. — Но тогда это было не так очевидно».

Я не могу подтвердить, подозревал что-то Гилберт или нет, потому что к моменту признания Попова сам Гилберт прекратил общение со мной, поскольку оглашение всей этой истории с операцией Ant City может повредить его новой карьере на посту директора по компьютерной безопасности и защите данных в крупнейшей компании консалтинга и аудита PricewaterhouseCoopers.

Со своей стороны, Попов, которому сейчас 35 лет, кажется одновременно дерзким и утомлённым. Он не сожалеет о взломе ФБР. Но его дерзость слегка тухнет, когда я спрашиваю, какую роль сыграла его двуличность в разрушении карьеры Гилберта в ФБР.

Попов до сих пор помнит День Благодарения 2002 года, индейку и «Властелина Колец».

«Он был моим единственным другом, — говорит Попов о Гилберте. — Я всё ещё люблю его, пусть даже он несколько отстранился от меня из-за моих новых дел. Я всё ещё «чёрный хакер» (“blackhat”), и всегда им был. Но кому какое дело? Я всё ещё люблю его».
За годы, прошедшие после операции Ant City, подпольное сообщество в Восточной Европе прошло большой путь и выросло до огромных масштабов. Взломы Target и Home Depot привели к утечке почти 100 миллионов дебетовых и кредитных карт в 2013 и 2014 годах. Сделанный в России банковский троян ZeuS способствовал росту воровства из онлайн-банкинга до максимальных показателей за 10 лет. Черви и ботнеты, вымогатели, которые шифруют файлы и требуют выкуп за биткоины, даже сложная схема инсайдерского трейдинга с ущербом в $100 млн — всё это связано с хакерами из бывших советских республик. Как обычно, масштабируемость решает всё. Русский хакер не взламывает банк, чтобы украсть немного денег. Он создаёт пакет программного обеспечения, который автоматизирует взлом банков, и продаёт его на подпольных форумах по $3000 за копию. Его клиенты — настоящие воры — нанимают спамеров для распространения зловреда и денежных мулов для отмывки денег. У каждого своя специализация. Каждый получает вознаграждение.

Работа Гилберта с Поповым стала первой попыткой расколоть этот мир, хотя во многих отношениях это был просто новый приём традиционной тактики правоохранительных органов. Когда федеральное агентство сталкивается с мощной криминальной машиной, оно неизменно пытается саботировать её работу изнутри. И чтобы сделать это, агентство должно стать рабочим компонентом в том самом криминальном механизме, который надеется разрушить. Такая тактика всегда угрожает хрупкому балансу, и операция Ant City стала не последним примером, когда она приносит обратный эффект. Вскоре после неё в другом деле информатор Секретной службы Альберт Гонсалез вступил в тайный сговор с русскими хакерами, что привело к утечке 160 миллионов кредитных карт и нанесло ущерб в сотни миллионов долларов — прежде чем его поймали и приговорили к 20-летнему тюремному заключению в 2010 году. Федеральный прокурор, помощник прокурора Хеймана, просил 25 лет.

Некоторые операции завершаются арестами и вручением наград, другие — тишиной и растерянностью. Единственное остаётся неизменным — это андеграунд Восточной Европы, который перемалывает на своём пути любые преграды, как любая машина, неутомимо и безразлично, в основном, просто в поисках оплачиваемой работы.