Хмурым ноябрьским днем после нескольких недель поиска Кристиан Россов (Christian Rossow) случайно попадает в водоворот мировой политики. Он сидит в кабинете, в котором помещаются только два письменных стола и шкаф, и борется с нагромождением цифр, мелькающих на мониторе его компьютера. Россов что-то в них обнаружил.
Цифры поступают из подвала, этажа под ним, из помещения без окон. Только у четырех человек, кроме Россова, есть ключ. Помещение — лаборатория с высоким уровнем безопасности в его вузе. Когда Россову нужно что-то в ней сделать, ему приходится торопиться. В помещении холодно и шумно, старый кондиционер круглосуточно поддерживает температуру на уровне 19 градусов. Потому что там стоят 15 высокопроизводительных компьютеров, больших и широких, как шкафы, и очень чувствительных к перегреву.
Россов использует их как подопытных животных. Он заражает их возбудителями, новейшими вирусами, троянами и червями, которые ему ежедневно посылают производители антивирусных программ. На экране монитора в своем кабинете он может наблюдать, что творят эти вирусы. С лабораторией в подвале с помощью специальной программы связаны лишь несколько компьютеров.
Первая же цифра на мониторе Россова означает, что в подвале свирепствует на редкость вредоносная программа. За считанные минуты она может связаться с сотнями чужих компьютеров. Это как раз то, что он ищет. Россов проводит пару тестов и ищет в интернете, занимается ли уже кто-нибудь из технарей-любителей или ученых этой программой. Но ничего не находит. Вот он, думает он, идеальный пример для его докторской диссертации.
Хакер Евгений Богачев побежден
В этот полдень, сам того не зная, Россов начинает охоту за одним из самых разыскиваемых киберпреступников в мире. Примерно через пять лет, гордый, но в то же время несколько обеспокоенный, он будет сидеть с бледным лицом на черном кожаном диване у себя дома и рассказывать историю своей жизни. Ему удалось то, что редко кому удается. Но дело вышло из-под контроля.
США представили фантома, мастера цифровых краж. Его зовут Евгений Михайлович Богачев, гражданин России, 32 года, мужчина с круглым лицом, обритой налысо головой и темными кругами под глазами. Сотрудники правоохранительных органов из более чем десяти стран охотились за ним, они приставили к нему агентов под прикрытием, просили о помощи нердов и таких гигантов компьютерной индустрии, как Dell и Microsoft. Но победить его удалось Россову и нескольким его знакомым с помощью его же собственного оружия.
ФБР называет Богачева хакером мирового масштаба. Потому что он писал и сдавал в аренду программы, с помощью которых он, его подельники и его клиенты сотни тысяч раз шли на грабеж.
Его пакет программ называется Gameover Zeus. Это словосочетание наполовину заимствовано из компьютерной игры, наполовину — из греческой мифологии. Ничто больше не будет работать, когда приходит верховный бог Олимпа, примерно так можно было бы его перевести. Название — нескромное, но подходящее. Потому что Богачев создал цифровой инструмент, с помощью которого и нескольких напарников можно было щелчком мышки грабить чужие счета, блокировать компьютеры и выводить из строя серверы.
ФБР оценивает ущерб примерно в 100 миллионов долларов
По данным ФБР, Богачев и примерно 20 его помощников инфицировали с помощью этой программы миллион компьютеров по всему миру. Его жертвами стали предприятия, банки и частные лица. Считается, что он украл 227 тысяч долларов у индейского племени в американском штате Вашингтон, 6,9 миллионов долларов — у банка во Флориде.
Сколько денег он собрал в итоге и какой вред причинил, точно неизвестно. ФБР предполагает, что около 100 миллионов долларов, и это только в США. Возможно, что сумма больше в разы, потому что Богачев грабил с помощью своей программы и в Азии, и в Европе, и в Германии.
Годами он мог чувствовать себя в безопасности. Он так усовершенствовал преступление, что злоумышленники были защищены, а другая сторона, полицейские и прокуроры, оказались поставлены перед задачей, которую не могли решить без помощи таких специалистов, как Россов.
Следователи имели дело с призраками, которые скрывались за аббревиатурами и вымышленными именами. У них не было практически ничего из того, что им обычно нужно для раскрытия преступления. Нет места преступления, нет отпечатков пальцев, нет следов кожи или волос, которые можно было бы использовать для генетического анализа, нет свидетелей и описания преступников.
Пароли и деньги украдены через ботнеты
Грабителям цифровой эпохи больше не нужно вламываться в банк или квартиру. Они могут использовать компьютерные вирусы, которые направляют их цифровой DNS в чужие компьютеры и, само собой, заражают все новые компьютеры и создают большую сеть компьютеров, так называемые ботнеты. Хакеры могут скрытно управлять этими ботнетами, пользоваться банковскими счетами интернет-пользователей, воровать их пароли и их деньги. Программа Богачева умела это делать в совершенстве. Она могла даже шпионить.
Поэтому следователи, в основном тщетно, годами бьются в изнурительной неравной битве. Но иногда все идет по-другому. Иногда за псевдонимом постепенно становится узнаваемым человек с его привычками и слабостями, преступник, чей след можно проследить, как в случае с Богачевым. США предъявили обвинения Богачеву, действовавшему под псевдонимами slavik, lucky12345 и Pollingsoon. ФБР гордится таким редким и большим успехом. Без Россова он был бы недостижим.
Ясным холодным утром пятницы Россов сидит в своей квартире на мансардном этаже одноквартирного дома, выложенного красным клинкером, в Динслакене, находящемся в одной из западных немецких земель. Он весь вытянутый и узкий — его лицо, его тело, его пальцы. Черный ноутбук, не больше листа бумаги, наготове лежит возле него на диване. Наверное, он смеется, когда вспоминает о своем первом компьютере IBM, огромном ящике.
Ему было девять лет, когда он сидел в своей детской комнате в двухквартирном доме и программировал свою первую игру. Ему было 11 лет, когда интернет вошел в моду, и он создавал личные интернет-сайты для своих знакомых, чтобы они могли через них продавать фильмы и книги. После школы он пошел учиться на специалиста по информационным технологиям, начав учебу, он специализировался на вредоносном программном обеспечении.
Кибероружие, которое грабит банки и подрывает государства
Есть бесчисленное множество вирусов, троянов, вредоносных программ, каждый день к ним добавляются еще примерно по полмиллиона. Среди них есть плохо спрограммированные, топорные и почти неэффективные, но встречается также и опасное кибероружие, которое позволяет грабить банки, выводить из строя электростанции и подрывать функционирование государственных органов. Россов интересуется только хорошо спрограммированными. Ежедневно он просматривает десятки из них, читает из коды, командную строку за командной строкой. Он хочет понять, как они действуют, как они перенаправляются на чужие компьютеры и как можно их обезвредить.
Он — часть тихой борьбы, которая ведется с помощью клавиатуры, байтов, кодов и стекловолоконных кабелей, программист против программиста, добро против зла. Одни изобретают кибероружие, другие изучают его строение и пытаются обезвредить это оружие.
«Это игра», — говорит Россов.
Он сидит за письменным столом или на своем диване перед монитором, который связывает его с миром снаружи. Он изучает своих противников, их стратегию, чтобы иметь возможность предугадать заранее, что они предпримут в следующий раз. Они могут быть подростками или мужчинами с козлиными бородками в свитерах с капюшоном, сидящими где-нибудь в затемненной комнате, он этого никогда не узнает.
В середине ноября 2011 года Россов обнаруживает Gameover Zeus
Вероятно, большинство начинало так же, как он: немного программировали или взламывали игры, чтобы их не покупать. Россов рано решил встать на сторону добра. Как независимый исследователь — добросовестно и конструктивно.
Профессиональные хакеры, говорит он, становятся все лучше, их атаки все точнее и хитрее. То, что они не хотят или не могут программировать сами, они покупают на форумах в интернете, на черном рынке цифрового преступного мира. Там они могут арендовать компьютеры для атак. Или получить доступ к компьютерам, которые без ведома их владельцев подсоединены к ботнетам. На этих форумах индустрия, основанная на разделении труда, предлагает компоненты для цифрового сверхмощного оружия, иногда в закрытых клубах, доступ к которым имеют только избранные члены.
В первый раз Россов в своем кабинете натолкнулся на Gameover Zeus в середине ноября 2011 года. Незадолго до этого кто-то из сотрудников компании на северо-западе американского штата Пенсильвания получил по электронной почте письмо со ссылкой, которое выглядело так, как будто было отправлено от одного из его руководителей. Так он открыл доступ ко всем данным и счетам компании. Как выяснилось позже, это было первое крупное ограбление Богачева. Добычу — около миллиона долларов — он с помощью подставных лиц переместил на банковский счет в Лондоне.
Об этом Россов не может ничего знать. Программа, которую он обнаружил в подвальной лаборатории по изучению вирусов, пока еще неизвестна. Ее код выглядит как едва ли поддающийся расшифровке тайный шифр. Она закрадывается глубоко в систему компьютера, не посылает спам и, кажется, что сидит в засаде. Кроме того, очевидно, что она хорошо зашифрована. Россов хочет выяснить больше о том, как эта программа работает. Он собирается наблюдать, как действует это оружие.
Следы данных в коде кибероружия
Следующие недели он целыми днями сидит в своем сером кабинете, а по вечерам дома в рабочем кабинете со своим маленьким черным ноутбуком, часто до поздней ночи. Он почти не спит, его подруга его практически не видит. Только днем, когда светит солнце, он выходит на пробежку, чтобы хотя бы полчаса ни о чем не думать.
Постепенно он начинает понимать логику этого трояна. Как он обращается к чужим компьютерам, как представляется и как образовывает свой гигантский ботнет. В лаборатории своего вуза Россов создает копию вредоносной программы, чтобы получить возможность провести очередные тесты. Однажды на специализированном польском блоге он найдет статью.
Кто-то, такой же исследователь, как и он, очевидно, обнаружил тот же троян, проанализировал его и пришел к выводу, что этот вредитель сконструирован идеально и его не взломать. Потому что Gameover Zeus не только очень быстр, но и имеет специальную маскировку, придуманную его создателем.
Хакеры должны принять ряд решений при создании своего вредоносного программного обеспечения. Например, как зараженные компьютеры должны получать ключевые команды. Они могут заложить эту информацию в коды своего кибероружия. Но они могут также контролировать компьютеры, которые они тайно захватили, с помощью другого компьютера или нескольких сразу. Преимущество первого варианта в том, что такой контроль более прямой, надежнее. Недостаток: они оставляют больше следов данных, по которым киберследователи или такие люди, как Россов, могут их выследить.
Замаскированная атака на ботнет
Богачев выбрал второй вариант. Компьютер, с которого он рассылает своего трояна, использует зараженные компьютеры в качестве ботов. Так он становится практически невидимым, его компьютер связан с сотнями тысяч других, практически все из которых беспрестанно отсылают и переадресовывают какие-нибудь команды.
Россов впечатлен. Он редко видит настолько искусное оружие, его создатель не оставил своим противникам практически никаких уязвимых мест. Тем не менее каждая программа имеет слабые места, идеального кода не существует, думает Россов. Иначе и операционные системы Windows, Mac OS или Linux были бы неуязвимы.
В один из этих долгих вечеров, глядя на черное ночное небо сквозь окно своего домашнего рабочего кабинета, Россов понимает, что нашел это слабое место. Богачев не контролирует, кто подключается к его ботнету. Он отказался от установки надежного замка. Возможно, он не учел такой возможной проблемы. А может быть, он был настолько самоуверен в своем деле, что думал, что его маскировку невозможно снять.
Россову удалось незаметно влиться в ботнет Богачева. Теперь он, хорошо замаскированный, сидит в засаде и следит за своим противником. Если его предположения верны и ему удастся нейтрализовать трояны Богачева, это заинтересует не только его профессоров, но и производителей антивирусного программного обеспечения, крупные компьютерные фирмы, предприятия, занимающиеся безопасностью IT-отрасли, федеральное управление уголовной полиции, Европол, возможно, даже ФБР. В одиночку он, конечно, с этим не справится. Слишком много работы, а он должен быть быстрым, если хочет стать первым. У него есть двое знакомых, которые ему помогают. Один студент, которого он курирует, и один коллега, которого он давно знает.
Киберпреступники сидят в России или на Украине
Они сидят в своих квартирах в Динслакене, Амстердаме и Дюссельдорфе, анализируют данные и подключаются друг к другу для проведения совместных видеоконференций, когда обнаруживают что-то новое, часто по несколько раз в день. Через несколько недель они считают, что поняли, как могут атаковать оружие Богачева. А также, когда для этого наступит лучший момент: вечер пятницы.
Россов в лаборатории проводит тесты, чтобы узнать, какие компьютеры в ботнете Богачева обмениваются между собой особенно большим количеством информации. Вероятно, именно через них он управляет своим ботнетом. Кроме того, Россов и оба его знакомых выяснили, что обновление для Gameover Zeus, новейшие версии программы, всегда появляются в течение рабочей недели, чаще всего рано утром.
Это значит, что по выходным, видимо, киберпреступники не работают и живут в похожем часовом поясе, возможно в Европе, вероятнее на Украине или в России. Там много хорошо образованных специалистов по информационным технологиям. В Германии предприятия или научно-исследовательские учреждения привлекли бы их выгодными контрактами, но в России для них слишком мало работы.
Пятничным вечером, после 17 часов, Россов сидит в своем домашнем рабочем кабинете. Середина мая 2012 года. На экране монитора Россова рядом открыты два окна, белое и черное. В белом он видит лица обоих своих помощников, такие же напряженные, как и его. Дома перед своими компьютерами они видят то же черное окно, что и у него, матрицу. Там, где другие видят только лишь бесконечную череду цифр, букв и значков, они видят целый мир.
Контратака на университетский компьютер
Им понадобилось почти два месяца, чтобы написать код для своей атаки. Он должен управлять соединением компьютеров друг с другом и один за другим отключить их от ботнета Богачева. Он должен быть быстрым. Компьютер автоматически включается в сеть каждые 20-30 минут. Это время, которое есть у их программы. Если ей понадобится больше времени, компьютеры автоматически сведут ее действия на нет. Поэтому они используют интернет и компьютеры университета Россова. Интернет-соединение у них дома было бы слишком медленным.
Россов нажимает клавишу Enter и ждет.
На его экране начинают танцевать белые цифры, так быстро, что они сливаются друг с другом. Каждый компьютер, который они украли у Богачева, отсылает подтверждение, текстовую строку. Их много, очень много, все проходит стремительно быстро. В два часа Россов еще раз проверяет систему предупреждения, все в порядке, после этого он ложится в кровать, довольный тем, что все прошло, как было запланировано.
Следующим утром он рано просыпается. Хакеры по-прежнему еще не отреагировали. Проходят выходные, первая неделя, вторая неделя. Россов удивлен. Они принесли Богачеву дорогую проблему. Он потерял контроль над компьютерами, владельцев которых он обкрадывал, некоторых неоднократно. От него уходит добыча. Кроме того, он также покупал компоненты для своего оружия, чтобы заразить чужие компьютеры и считать данные банковских счетов. Теперь ему нужны новые.
Пиринговые сети, хостинг Bulletproof и синкхолинг
Через три недели после атаки кто-то вывел из строя интернет-связь в университете Россова. Это контратака Богачева, Россов ее ждал, он отбивает его атаку. Теперь он знает, что Богачев и его вредоносная программа не непобедимы. Его прежний успех сделал его уязвимым. Чем больше компьютеров подключено к ботнету, тем сложнее его восстановить, если кто-нибудь запустит в него ошибку. Ничего другого он, Россов, и не делал.
В течение нескольких дней Богачев и его люди выпустили еще десяток обновлений. Появилось несколько новых функций. Но, похоже, что слабое место своей программы они так и не обнаружили. Это значит, что Россов и его коллеги могут еще раз атаковать хакеров. Но на этот раз им нужно более эффективное оружие, более сложный код, более мощные процессоры и более производительные серверы.
В августе 2012 года Россов просит свою подругу переехать к ее родителям. Целую неделю он и оба его помощника превращают его квартиру в комнату их молодости. Днями напролет они сидят с ноутбуками, документами и мармеладками за обеденным столом в гостиной, по ночам они на несколько часов расстилают на полу свои матрасы. Уже с раннего утра, за завтраком они обсуждают пиринговые сети, хостинг Bulletproof, синкхолинг и затем продолжают писать свой новый код.
У Богачева были необычные идеи и изящный код
Они взяли на помощь двоих специалистов, работавших на компании, специализирующиеся на компьютерной безопасности, с которыми они познакомились на конференциях. Один из них, Тильманн Вернер (Tillmann Werner), сидит с ними за столом. Второй, калифорниец, заходит ранним вечером по немецкому времени в Skype. Его зовут Бретт Стоун-Гросс (Brett Stone-Gross), он славится хорошим чутьем при раскрытии преступлений, необычайными техническими способностями и отличными контактами с американскими службами безопасности. Как выяснилось, он тоже с некоторого времени охотится за Богачевым.
В конце недели они чувствуют себя готовыми ко второй атаке. Они нашли четыре компании, которые предоставили им несколько серверов. В этот раз у них было несколько IP-адресов, а не только университета, теперь их гораздо сложнее опознать как атакующих. А самое главное, как думает Россов, их код в этот раз заметно хитрее.
Хотя он и считает, что идеального кода не существует, он хочет приблизиться к нему как можно ближе. Код — это почерк, в котором раскрывается мастерство программиста и его личность. Например, код выдает, написан ли он тщеславным человеком, его автор может скрыть в нем тайные послания, отсылки к какой-нибудь книге или композитору.
Для Россова идеальный код изящен, свободен от прикрас, он позволяет сложному выглядеть простым. Код Богачева изящен. Его почерк выдает то, что у этого человека были необычные идеи, но, несмотря на это, он отказался от всего лишнего. Но Россов считает, что у них есть что ему противопоставить.
Обвинения против slavik, lucky12345 и Pollingsoon
Примерно в это же время почти в восьми тысячах километров от них суд на севере США выносит обвинение человеку, который скрывается за никами slavik, lucky12345 и Pollingsoon. Обвинение, помимо прочего, ставит ему в вину вымогательство, банковские аферы и нарушение различных связанных с использованием компьютеров законов.
В сентябре 2012 года, в один из пятничных вечеров Россов и его помощники предпринимают вторую атаку. Все проходит примерно как в прошлый раз. Наступает полночь, час ночи, два часа. Проходит суббота, первая неделя, вторая. Они отключают 90% компьютеров от грабительской сети Богачева. В конце второй недели они замечают, что хакеры несколько раз переработали своего трояна. Но свое слабое место они все еще не устранили.
Теперь у Россова, собственно, есть все, что ему нужно. Он хотел узнать, как функционирует программа и почему она столь успешна. Теперь он это знает. Он победил трояна, который считался непобедимым, дважды, и это является доказательством. Теперь он мог бы просто написать свою диссертацию.
Велики шансы, что он будет первым ученым, действительно описавшим Gameover Zeus. С другой стороны, думает Россов, такой случай ученому, пожалуй, представляется лишь раз в жизни. Кроме того, множество людей каждый день теряют из-за трояна много денег.
Выступление на конференции IEEE в Сан-Франциско
Спустя месяцы, в мае 2013 года, Россов стоит на первом этаже мощного бетонного блока, в центре Сан-Франциско, в помещении без окон, в котором так же прохладно, как и в его лаборатории по изучению вирусов. Он приглашен выступить на IEEE Security and Privacy, пожалуй, самой значительной конференции в мире по вопросам компьютерной безопасности.
Лучшие исследователи, детективы, следователи собираются здесь раз в год. Россов щурится от яркого света ламп, все места в зале заняты. Должно быть, здесь 500 человек, желающих услышать, что именно он и его помощники выяснили про Gameover Zeus. Широкая общественность узнает об этом впервые.
Кроме того, для Россова это тот момент, когда игра становится опасной, потому что он переносит борьбу из виртуального мира в реальный. До сих пор для Богачева он был призраком, кем-то, кто, видимо, получил доступ к университетскому серверу и, очевидно, что-то понимает в ботнетах.
Но отныне он — немецкий ученый, человек с именем и лицом, которого можно найти, если захотеть, и который знает, что Firewall дает больше защиты, чем стены собственного дома. Россов старается отогнать эти мысли. Он утешает себя тем, что не только он, но и другие люди пытались взломать сеть Богачева, и он, Россов, — всего лишь часть этой группы.
Агент ФБР выходит на контакт
Едва он возвращается в Германию, как Бретт Стоун-Гросс, американец из его группы, пишет ему электронное письмо. Некто по имени Эллиот Петерсон (Elliott Peterson), специальный агент ФБР, бывший моряк, слышал доклад Россова в Сан-Франциско и дал о себе знать. «Возможно, ему нужна наша помощь», — пишет Стоун-Гросс.
Уже во время первой видеоконференции с этим человеком у Россова появляется чувство, что дело — еще более значительное, чем он думал. Петерсон — большой, мускулистый и ироничный — не похож ни на одного из свирепых молчунов, знакомых Россову по американским фильмам про агентов. Его вопросы и намеки выдают, что он уже долго охотится за Богачевым и давно сотрудничает с международной армией следователей и компаний, занимающихся безопасностью.
«Мы ищем способ, — говорит Петерсон, — как на долгое время отнять у хакеров этот ботнет. Вы это сможете?» Что бы им ни понадобилось, он постарается сделать это возможным. Возможным будет многое, потому что этот случай невероятно важен для Соединенных Штатов Америки.
На этот раз группа Россова встречается в отремонтированном старом здании в Бонне. Неделя сна на матрасах на полу, неделя пиццы из службы доставки. Между тем Богачев существенно осложнил им задачу. Он перепрограммировал своего трояна так, что код теперь практически нельзя изменить.
Тысяча новых доменных имен в неделю
Кроме того, он затеял гигантскую игру в наперстки. Его троян каждую неделю генерирует 1000 новых доменных имен. Это значит, чтобы все удалось, им придется приложить большие усилия. Потому что они зависят от помощи всех тех фирм, управляющих доменами. Им нужно договориться с ними, чтобы те заблокировали адреса.
Но теперь они знают, что им делать. Они советуются, пробуют, пишут новый код. По крайней мере, раз в день звонит Петерсон и интересуется, как идут дела. Если им что-то нужно, он это достает, деньги не играют роли. Но когда они уже готовы для решительных действий, Петерсон начинает звонить все реже. Иногда они целыми днями ничего о нем не слышат, затем по несколько недель или даже месяцев. Россов нервничает. Последнее обновление Богачева было весьма удачным. Что, если он еще больше усовершенствует своего трояна, если найдет ошибку и устранит ее? Это может случиться в любой день.
Может быть, думает Россов, у них скоро вообще не будет шансов его остановить.
31 мая 2014 года, спустя два с половиной года после того, как Россов в своей секретной лаборатории заметил трояна Gameover Zeus и год спустя после того, как агент ФБР Петерсон обратился к нему за помощью, Тильманн Вернер и Бретт Стоун-Гросс, знакомые Россова, открывают в пустом конференц-зале в Питтсбурге свои ноутбуки. На столе перед ними стоят два больших монитора, за ними десяток сотрудников ФБР и высокопоставленных юристов США.
В Национальном центре кибербезопасности США
Петерсон в тот день работал как одержимый. Через мгновения эти двое парней, немец и американец, начнут уничтожение ботнета Богачева. Для этого он просил их прийти сюда, в зеленое здание в центре города, в Национальный центр кибербезопасности США.
И пока их программа все глубже проникает в сеть Богачева и разрушает его оружие, в Канаде, Германии, Франции, Англии и, прежде всего, в России и на Украине, десятки следователей будут обыскивать дома и квартиры и задержат десять человек, помогавших Богачеву в его грабежах в киберпространстве. Таков план Петерсона.
Идет девятый час этого пятничного утра, когда Стоун-Гросс и Вернер нажимают клавишу Enter. Где-то семью часами позже звонит мобильный Россова. В Германии вечер, почти девять, когда объявляется Вернер. Россов сидит на деревянной скамейке перед летним домиком на острове Рюген и читает книгу. Он с подругой уехал в отпуск.
Когда шла речь о том, кто полетит в Питтсбург, Россов оказался в замешательстве. Он напал на след Богачева, преследовал его, выяснил его качества, составил представление о нем. Сейчас, когда все подошло к решительным действиям и он мог бы довести дело до конца, ему вместо этого захотелось в отпуск. Он много работал и еще несколько месяцев назад пообещал подруге провести время вместе. Через три недели они должны пожениться.
Поиск ошибки в коде
Кроме того, он всегда предпочитал одиночество, когда работал над чем-то важным. Его нервировало, когда кто-то стоял у него за спиной, как будто контролируя его действия. Когда возникали трудности, ничто не должно было его отвлекать. Кроме того, для него не играло никакой роли, был ли он в Гельзенкирхене или Динслакене, в Бонне или Питтсбурге. Борьба против Богачева происходила не в каком-то определенном месте, а в киберпространстве. Все, что ему было нужно, это ноутбук и выход в интернет.
Что-то не так, говорит Вернер.
Их программа очень медленно разворачивается в ботнете Богачева. Слишком медленно. Так Богачеву не составит труда продолжать управлять всеми чужими компьютерами. Они все проверили, многое испробовали. Дело, должно быть, в их коде. Его они тоже проверяли, снова и снова, но не нашли ошибки. Все теперь зависит от Россова. Если он не найдет решения, то одно из самых затратных расследований в мире за долгие годы может провалиться.
Россов идет в дом и вынимает из рюкзака ноутбук, но интернет вдруг перестает работать. Тогда он на велосипеде едет в соседний населенный пункт и ищет отель, в котором есть интернет. В холле он падает на диван, ставит компьютер на столик и запускает обе программы, которые он уже использовал при прошлых двух атаках.
Вице-министр юстиции США Джеймс Коул (James Cole) докладывает об успехе
Затем он сидит в полутьме, молодой человек в удобной одежде, получеловек, полупризрак. Экран освещает его лицо голубоватым светом. Россов кликает черное окно и ищет место в своем коде, где он предполагает ошибку, затем он начинает переписывать код. С этого момента он перестает замечать все вокруг.
Когда он готов, он жмет клавишу Enter и смотрит, как их программа начинает пожирать ботнет Богачева.
Три дня спустя в Вашингтоне перед прессой выступает пожилой господин с узким лицом, уложенной прической и усами, позади него два флага, звездно-полосатый и с американским орлом. Джеймс Коул (James Cole), заместитель министра юстиции США, должен объявить о сенсации. США, говорит Коул, с помощью международной группы розыска положили конец проискам одного из самых прожженных кибермошенников в мире.
Евгений Богачев «создал сложнейшую систему компьютерных вирусов, с которой мы когда-либо сталкивались». Вместе с российскими и украинскими сообщниками он заразил свыше миллиона компьютеров, среди которых и серверы банков США. Коул говорит, что суд США обвиняет Богачева в интернет- и банковских аферах, в вымогательстве, краже данных и отмывании денег.
Россов опасается мести Богачева
Во второй половине дня Россов созванивается с Вернером и просит его еще раз спокойно рассказать, как все прошло. Когда он кладет трубку, он полагает, что история для него закончилась. Но история за прошедшие месяцы начала жить своей жизнью.
Поэтому Россов, спустя пять лет после того, как все началось, сидит дома, в своей гостиной и даже не знает, что ему теперь обо всем этом думать. У него есть все основания гордиться собой. Ему удалось нечто невероятное. ФБР вручило ему грамоту в синей папке из искусственной кожи, она стоит раскрытой на полке в его кабинете в университете.
Он, едва закончив учебу, получил исследовательскую группу в университете, его лекции хорошо посещаются. Крупные компьютерные фирмы приглашают его читать доклады, — в Ниццу, в Кремниевую Долину. Но он все еще вздрагивает, когда стоит перед большой аудиторией и слышит, как объявляют его имя. Он связался не с каким-то хакером, а с преступником, от которого всего можно ожидать. Он опасается, что Богачев может мстить. Кроме того, это дело еще и связано со шпионажем.
Россов и его помощники, хорошо укрывшись в ботнете Богачева, нашли целый ряд поисковых команд, которые не нужны «цифровым» грабителям банков и которые обычно не находят в их вредоносных программах.
Шпионаж против Грузии, Украины, Сирии и Турции
Кто-то собирал там актуальные данные о Грузии и Украине, о Сирии и Турции. Его поисковые запросы выдают, что кто-то охотился за секретными правительственными документами и следил за некоторыми сотрудниками иностранных спецслужб.
Это указывает на российские интересы. Потому что едва ли эти страны интересовали кого-нибудь больше, чем президента России Путина. Он провел войну с Грузией, отношения все еще весьма напряженные. В Сирии правитель Башар Асад велел бомбить собственный народ, Путин встал на его сторону, Турция — на сторону Европы и США. Путин вел войну и на Украине.
Данные, которые собрала вредоносная программа Богачева, позволяют, таким образом, сделать вывод, что в ботнет Богачева внедрился шпион; возможно, даже по поручению российского правительства. За это говорит и качество его кибероружия.
«Ну, думаю, следует быть осторожнее», — говорит Россов. В сети много возможностей замаскироваться и пустить преследователей по ложному следу.
Награда за поимку — три миллиона долларов
Однако американские следственные органы, как и агент ФБР Петерсон, говорят о шпионаже, в также о том, что за поиском секретной информации стоит Богачев. Поэтому летом 2014 года США потребовали от России выдать Богачева. Напрасно, поскольку между странами нет соглашения о выдаче. В феврале 2015 года ФБР объявило Богачева в розыск, награда за поимку — три миллиона долларов. Это максимальная награда, которую власти США когда-либо объявляли за поимку киберпреступника.
Многое указывает на то, что Богачев до сих пор находится в России, в Анапе, курортном месте на побережье Черного моря с населением 60 тысяч жителей. Там его официальное место жительства, квартира в многоэтажном доме, всего в паре сотен метров от отделения полиции. Его соседи говорят, что он регулярно появляется там.
Он им нравится. Они рассказывают, насколько он обходителен, и что он ездит на старом Volvo с наклейкой на крыле, которая рекламирует ремонт компьютеров. Также говорят, что иногда его видят на его яхте у берега. Это рассказали соседи российской и английской газетам. Не похоже, что Богачев пытается спрятаться. Возможной причиной этому, как считают следователи в США и Европе, является то, что его покрывает правительство Путина.
Как будто США и Россия вернулись к холодной войне
Это всего лишь домыслы, но они распространяются по миру как компьютерный вирус. Эллиот Петерсон, охотник за Богачевым, представил эту версию общественности несколько месяцев назад. На конференции по кибербезопасности в Лас-Вегасе он представил объемный отчет, повествующий об охоте на Богачева. Многое указывает на то, что «Gameover Zeus» с самого начала использовался для шпионажа, пишет он. В послесловии он выражает благодарность Россову.
Лицо Россова искажает гримаса, когда с ним заговаривают на эту тему. Иногда ему кажется, что мир объят пламенем. Как будто США и Россия снова вернулись к холодной войне. Он опасается, что в какой-то момент будет достаточно небольшого повода для эскалации конфликта. Шпионаж, дипломатические хитросплетения, кибервойна. Это дело приобрело для него слишком большой размах.
Он программист. Он хотел выяснить что-то, сделать что-то правильное. Но, кажется, что это больше никого не интересует.
