В густом тумане, который по-прежнему окружает взлом Демократической партии США в 2016 году, его имя было частью того немногого, что вышло на всеобщее обозрение. 29 декабря 2016 года Евгений Богачев упоминался в заявлении Белого дома как один из самых опасных российских хакеров.
В тот день, один из последних в его президентском мандате, президент Барак Обама решил объявить серию мер в ответ на кибератаки России, призванные посеять сомнения по поводу честности американского избирательного процесса.
В документе Белого дома был представлен список 35 выдворенных из США дипломатов, трех частных компаний и трех основных руководителей российской разведки, на которых пали подозрения в координировании атак. Евгения Богачева же обвинили в «хищении средств и персональных данных».
В мире кибербезопасности Богачев — известная личность. С мая 2014 года этого человека с бритой головой, пронизывающим взглядом и тяжеловесной фигурой разыскивает ФБР. 33-летнего хакера обвиняют в хищении 100 миллионов долларов с помощью созданного им ботнета GameoverZeuS. В розыскных документах отмечаются его псевдонимы (Slavik, lucky12345) и предлагается необычайно высокое вознаграждение: 3 миллиона долларов.
Фантомас (он получил такое прозвище за схожесть со знаменитым преступным гением и способность скрываться от преследователей) — хакер высокого полета, создатель «очень сложных и невероятно прибыльных программ», говорится в вынесенном в 2012 году обвинении американского правосудия. Эксперты по информатике, в том числе и те, кому пришлось бороться против него, называют его «гением».
Тревожные связи
Может, он и гений, но с учетом всего перечисленного, он был больше вовлечен в преступную деятельность, чем кибервойну великих держав. Тем не менее многие россияне видят в нем героя, своеобразного националистического Робина Гуда, который, правда, не раздает деньги бедным, но выбирает себе исключительно иностранные цели: австралийцы и азиаты утром, европейцы днем и американцы вечером. Именно так работает отлаженный механизм его преступной группы Business Club.
Какое послание пытались донести американские власти, включив Евгения Богачева в политический список в разгар противостояния США и России?
Они воспользовались обвинениями в кибершпионаже, чтобы свести счеты с особо успешным вором? У них есть доказательства причастности хакера к краже переписки Демократической партии? Или же, что вероятнее всего, они хотели выставить на всеобщее обозрение связи между миром киберпреступности и российскими спецслужбами?
Чтобы разобраться с этим, стоит взглянуть на историю Business Club. На пике своей деятельности с 2011 по 2014 год группе удалось заразить до 3 миллионов компьютеров GameoverZeuS, который был нацелен на хищение данных, прежде всего, банковских. Этот ботнет, улучшенная версия использовавшейся Богачевым с 2006 года вредоносной программы ZeuS, долгое время казался неприступным даже самым искушенным экспертам.
В системе Богачева были командные центры с бесконечными ответвлениями из захваченных компьютеров, что многократно повышало эффективность атак и делало их отслеживание практически невозможным.
Вредоносное ПО без труда проникало через дыры в операционных системах и антивирусных программах, не замедляя при этом (что немаловажно) работу зараженных компьютеров. Другим достижением группы стал Cryptolocker, одна из первых программ, которые замораживают все данные на компьютере до получения «выкупа».
Программист и преступный лидер
Образ Богачева держится не только на талантах программиста. Этот авторитетный преступный лидер и любитель роскошных яхт и машин превратил Business Club в небольшую империю, введя систему платы за принятие в группу и четко разграничив направления ее деятельности.
В Business Club было около полусотни членов, не считая «мулов», которые занимались перевозом в Россию украденных денег (они шли через банки в пограничной китайской провинции Хэйлунцзян).
Как бы то ни было, в середине 2014 года система GameoverZeuS развалилась. ФБР удалось разрушить сеть при поддержке полиции из нескольких стран, а также, а также десятков частных экспертов по информационной безопасности.
7 мая 2014 года на квартирах в Киеве и Донецке были взяты служившие командными центрами компьютеры, что заметно облегчило расследование. Операция «Товар» оказалась успешной, но Богачев бесследно исчез.
Другие данные указывают на то, что хакеры Business Club не довольствовались одним лишь хищением средств с банковских счетов. В GameoverZeuS был изначально заложен и другой функционал, позволяющий в частности записать все, что вводится на клавиатуре зараженного компьютера, или собрать хранящиеся на нем данные.
По мнению специализирующейся на кибербезопасности компании Fox-IT (в 2015 году она выпустила подробный доклад на эту тему), в 2013-2014 годах это ПО служило для хищения секретной информации с серверов украинских, грузинских и турецких спецслужб. Как отмечает Майкл Сэнди (Michael Sandee) из Fox-IT, шпионаж был уделом лишь одного Богачева, поскольку некоторые члены его группы были украинцами.
Рука Богачева
Хакер отличается ловкостью в подходе к целям. Его «фишинговые» письма, в которых жертву пытаются заставить кликнуть по приложению или ссылке, выглядят невероятно правдоподобными и прекрасно вписываются в профиль и национальность цели. Эти впечатляющие для простой преступной группы черты позднее всплыли в различных делах о государственном шпионаже.
Так, участвовавший в разрушении сети GameoverZeuS независимый эксперт Дон Джексон (Don Jackson) видит руку Богачева в атаках меньшего масштаба против Эстонии, Литвы и Киргизстана. Он сожалеет, что такая известность хакера уменьшает вероятность его будущей поимки, однако не видит «четкой связи» между ним и взломом серверов Демократической партии.
Ситуацию осложняет и другой момент, в связи с которым у экспертов возникает еще больше сомнений по поводу происхождения атак: Богачев всегда выставлял свои творения на продажу на черном рынке в сети. Иначе говоря, инструментами Business Club могли пользоваться и другие хакеры.
С 2015 года в ходу и другие творение Богачева, вредоносное ПО X-Agent, которое может быть установлено на любые смартфоны. Под видом BlackEnergy оно использовалось в том числе в политических целях, в частности против компании «Укрэнерго», что привело к перебоям в электроснабжении Ивано-Франковска в декабре 2015 года.
В опубликованных 8 марта WikiLeaks документах ЦРУ отмечается и другой момент: в структуре управления появилось особое подразделение, которое занимается использованием разработанных другими технологий в собственных целях. В теории, оно может проводить наступательные операции, оставляя указывающие на других следы.
Таким образом, нельзя просто так провести связь между Богачевым и какой-либо группой из тех, что ФБР считает ответственными за взлом Демократической партии. Даже в свете того факта, что разработанное хакером ПО использовалось прокремлевской хакерской группой АРТ28. По информации американских властей, она подчиняется ГРУ и несет ответственность за атаки на Бундестаг, телеканал TV5 Monde, Всемирное антидопинговое агентство и работающую по катастрофе рейса МН17 на Украине группу экспертов. Что касается АРТ29, у нее, как утверждается, имеются связи с ФСБ, наследницей КГБ.
Спецслужбы и хакеры
Как бы то ни было, все эксперты согласны с тем, что у Богачева «должок» перед властями, что подразумевает ответные услуги. И сложно представить, что российские спецслужбы могут отказаться от навыков лучшего хакера своего поколения. «Напрямую или нет, он в любом случае сыграл свою роль в развитии российских наступательных возможностей», — полагает эксперт Дон Джексон.
Нет ни у кого сомнений и в сотрудничестве занимавшихся киберпреступностью хакеров с российскими госслужбами. Именно с этим связаны подозрения насчет Богачева и, вероятно, решение США упомянуть его имя в официальном списке.
По мнению российского эксперта Андрея Солдатова, «хакеры чаще всего пытаются держать дистанцию, но, бывает, что у некоторых из них не остается другого выхода кроме сотрудничества. Определенную роль могут также сыграть финансовые или патриотические соображения».
Россия, разумеется, не единственное государство, обладающее инструментами кибератак и кибершпионажа, которые привлекают отметившихся в преступности хакеров для точечных миссий. Как бы то ни было, Москва пошла в этой системе дальше других. В августе 2016 года хакер Eas7 сообщила сайту Vice News, что сотрудничала с ФСБ в экономическом шпионаже. По ее словам, не менее половины всех хакеров работают на госструктуры.
Таким образом, нет сомнений, что на этом «киберрынке, где хакеры и спецслужбы обхаживают друг друга», как пишет журналист ВВС Андрей Сошников, американские санкции лишь повысят ценность легендарного и неуловимого Фантомаса.