Как "русский хакер" взломал три социальных сети и был пойман в Праге. Версия американских следователей

Штаб-квартира ФБР в Вашингтоне

Адвокат российского гражданина Евгения Никулина Мартин Садилек передал Настоящему Времени документ, который он называет письменными показаниями сотрудника ФБР Джеффри С. Миллера, специалиста по компьютерному мошенничеству и взломам. Адвокат утверждает, что именно этот документ, подписанный специальным агентом ФБР, оглашался в суде по экстрадиции, заседание которого состоялось 30 мая.

В суде не комментируют подлинность документа, но на аудиозаписи процесса (заседание велось на чешском, письменные показания представитель ФБР давал на английском) содержимое документа пересказывается близко к тексту. Письменные показания агента ФБР должны были подтвердить предъявленные Евгению Никулину в США обвинения и послужить основанием для экстрадиции.

Чешский суд рассматривал два ходатайства о выдаче – со стороны Соединенных Штатов и со стороны России. Никулин возражал против выдачи в США и отрицал вину, но настаивал на выдаче в РФ, где против него тоже возбуждено уголовное дело. Показания Миллера зачитывал судья.

Согласно документу, Джеффри Миллер отвечал за расследование против россиянина Евгения Александровича Никулина, известного под 19 псевдонимами, в том числе "Zhenya" и "Eugene".

Как расследовали проникновение в LinkedIn

Взлом

Согласно документу, в июне 2012 года менеджмент LinkedIn сообщил ФБР, что некто под псевдонимом "dwdm" на форуме разместил ссылку на архив, в котором было около 6,5 млн зашифрованных паролей LinkedIn.

Пользователь под этим ником действительно существует, от его имени опубликовано три поста – все по темам подбора паролей. Кроме того, в сентябре 2012 года пользователь получил уведомление, что он забанен, в качестве причины администратор написал одно слово – "Linkedin".

Следом тот же пользователь попросил других участников форума помочь с расшифровкой паролей, точнее, их хэшей – пользовательские пароли редко хранятся в открытом виде, их пропускают через односторонний алгоритм шифрования.

В LinkedIn сравнили опубликованные хакерами пароли, и убедились, что они действительно принадлежат пользователям.

Через две недели в LinkedIn завершили внутреннее расследование и выяснили, что аккаунт одного из инженеров ведет себя подозрительно. Получалось, что работник компании, находясь в Калифорнии, входил в корпоративную сеть как минимум с трех IP-адресов из России. Кроме того, с тех же адресов кто-то смог залогиниться без пароля в 36 пользовательских аккаунтов.

Инженер рассказал, что иногда работает из дома, а чтобы соединяться с корпоративной сетью, использует VPN (удаленное шифрованное соединение по технологии Virtual Private Network, виртуальная частная сеть). Кроме того, он запускал виртуальную машину на своем iMac, и использовал ее как веб-сервер.

Кто-то сумел установить соединение с этой виртуальной машиной, и через компьютер получить доступ к базам данных LinkedIn. Кроме того, хакер загрузил в виртуальную машину бэкдор – специальную программу, которая позволяет взломщику получить контроль над компьютером без ведома владельца.

Следы

В LinkedIn нашли еще несколько взломанных аккаунтов пользователей. Как минимум в семь из них входили с IP-адресов, зарегистрированных на российского провайдера "Национальные кабельные сети" (продвигался на московском рынке под брендом "ОнЛайм", в 2013 году поглощен "Ростелекомом"). Эти же адреса использовались, чтобы через компьютер инженера LinkedIn проникнуть во внутреннюю сеть компании.

При взломе хакер оставил и другие улики, которые в дальнейшем использовались в расследовании: в восемь взломанных аккаунтов он заходил, пользуясь одним и тем же браузером. Это удалось установить по одинаковым файлам "куки" (cookie, небольшой файл, с помощью которого сервис опознает пользователя) и строки "user-agent" (при соединении браузер сообщает свое название, версию, а также какой операционной системой пользуется клиент).

Одинаковые IP-адрес, строка "user-agent" и куки однозначно показывают, что для взлома инженера LinkedIn и аккаунтов сети использовался один компьютер, утверждается в документе.

Предположительно, во взломанные аккаунты пользователей хакер входил, чтобы проверить украденные пароли перед продажей, или чтобы получить дополнительную информацию для новых атак.

Тот же человек, который взломал аккаунты LinkedIn, в ходе операции пользовался почтой chinabig01@gmail.com. Согласно документу, ФБР получило разрешение суда на доступ к этой почте. В ней обнаружилась регистрация на сервисе afraid.org на ник "zopaqwe1".

Сервис afraid.org предоставляет услуги DNS – то есть помогает связать имена сайтов (abc.org) с их IP-адресами. В документе не говорится, как именно Никулин использовал afraid.org. Сервис часто используют пользователи, которым нужно увязать имена сайтов с постоянно меняющимися IP-адресами.

По санкционированному судом запросу администраторы afraid.org предоставили информацию о пользователе, в том числе, небольшой фрагмент данных, по которому можно опознать устройство пользователя (cookie) и другие сведения, в том числе строку идентификации браузера пользователя – и она совпали со строкой "user-agent", засветившейся при взломе LinkedIn.

В документе ФБР ссылается на полученные от провайдера "Национальные кабельные сети" данные о человеке, который пользовался IP-адресом, засвеченном при взломе LinkedIn. Следователям сообщили, что в момент взлома адрес использовался Евгением Александровичем Никулиным. Также им предоставили его телефон и номер паспорта.

Возможный подельник

В 2015 году комиссия по ценным бумагам США завершила расследование по крупнейшему мошенничеству на бирже. Обвиняемыми по делу стали девять человек, общий ущерб от деятельности группы оценивался в $100 млн.

Хакеры и связанные с ними биржевые трейдеры действовали с 2010 года. Им удалось взломать серверы пиар-агентств, на которых хранились пресс-релизы компаний под эмбарго. Заранее зная эту информацию, можно было делать безошибочные ставки на бирже, которые приносили десятки процентов прибыли. Только на одной сделке трейдеры заработали $1,1 млн. В группу входили граждане США украинского и российского происхождения.

Спецслужбам США не удалось арестовать всех подозреваемых по делу, в том числе и предполагаемого знакомого Никулина – Александра Еременко. Но власти Украины передали Секретной службе США файлы с его компьютера – фото и логи чатов в скайпе. Утверждается, что они были получены в ходе обыска у Еременко.

Несколько фотографий назывались "Женя из Москвы". Также Еременко под ником "vaiobro" переписывался с неким "Евгением Ломовичем", который использовал в скайпе аккаунт "dex.007".

Еременко и "Евгений Ломович" в переписке обсуждали хакерские приемы, в том числе использование бэкдоров. В одном из сообщений "Евгений Ломович" выслал Еременко образец HTTP-запроса, в котором использовался уникальный идентификатор сервиса afraid.org.

В ФБР пришли к выводу, что "Женя из Москвы" на фото, "Евгений Ломович" в чате с Еременко, пользователь afraid.org, хозяин почты chinabig01@gmail.com и хакер, взломавший LinkedIn – это один и тот же человек, Евгений Никулин.

Спасение Dropbox

В июле 2012 года агенты ФБР предупредили администраторов одного из крупнейших файлхостигов Dropbox о том, что их сервис могут взломать по тому же сценарию, что и LinkedIn. Следователи сообщили IP-адреса, которые использовались при атаке на LinkedIn. Кроме того, в ФБР посоветовали проверить всех работников, которые пользуются VPN для доступа к корпоративной сети.

Через две недели в Dropbox обнаружили, что их сеть действительно была атакована. Кто-то смог залогиниться в несколько аккаунтов работников этого сервиса, а также взломать обычных пользователей.

В компании добавили, что кто-то с российского IP-адреса по-прежнему пытается зайти в аккаунты работников Dropbox, но безуспешно, так как после предупреждения ФБР менеджмент приказал всем сотрудникам поменять пароли.

Внутреннее расследование показало, как хакеру удалось завладеть аккаунтами сотрудников: они использовали одинаковые пароли для входа в Dropbox и LinkedIn.

При попытке взлома хакер оставил те же следы: строка "user-agent" браузера совпала с той, что была при взломе LinkedIn, а для сброса паролей использовалась почта chinabig01@gmail.com.

В почтовом ящике следователи обнаружили девять писем от робота Dropbox "вы запросили смену пароля в вашем аккаунте" со ссылкой для создания нового пароля. Там же были приглашения вступить в "Dropbox для команды". В компании объяснили, что так сотрудники получают доступ к папкам с корпоративными файлами.

В документе утверждается, что хакер использовал IP-адрес того же провайдера, что и при взломе LinkedIn, но согласно базе RIPE этот диапазон в 2012 году принадлежал компании “Йота”, а сейчас – "Мегафону".

Вторжение в Formspring

В июле 2012 года человек, фамилия которого не раскрывается, обратился к по поводу возможной массовой утечки паролей сервиса Formspring. Якобы он нашел где-то в интернете архив с зашифрованными паролями, и скачал его, чтобы убедиться, что его пароля там нет.

Администрация Formspring нашла архив паролей на уже упоминавшемся форуме Inside Pro. Сейчас указанная в документе ссылка переадресует запрос на другую ветку форума. Пароли оказались подлинными.

Компания провела внутреннее расследование. Выяснилось, что кто-то смог войти на служебный сервер Formspring, пользуясь паролем одного из инженеров. Оттуда хакер похитил логины, которые подходили к основному серверу.

Уже на основном сервере взломщик создал резервную копию всех данных пользователей Formspring, и установил бэкдор – схожий с тем, что использовался при взломе LinkedIn.

Самый разыскиваемый хакер, "Шалтай-Болтай" и два офицера ФСБ

Одновременно с этим ФБР расследовало дело другого предполагаемого российского хакера – Алексея Белана. Сейчас его называют “самым опасным хакером в мире”, он находится в десятке самых разыскиваемых киберпреступников, а за информацию, которая приведет к его поимке, назначена награда $100 тысяч.

В марте 2017 года Минюст США обвинил двух сотрудников ФСБ и двух хакеров российского происхождения во взломе миллионов почтовых ящиков Yahoo. По версии прокуроров, офицеры ФСБ Дмитрий Докучаев и Игорь Сущин "вступили в сговор" с Алексеем Беланом и гражданином Канады и Казахстана Каримом Баратовым.

Офицера Центра информационной безопасности ФСБ Дмитрия Докучаева арестовали в России в декабре 2016 года, но совсем по другому делу – его обвиняют в государственной измене. Материалы расследования не разглашаются.

Различные медиа – от телеканала "Царьград" до "Новой Газеты" утверждали, что Докучаев и его начальник Сергей Михайлов занимались расследованием деятельности группировки "Шалтай-Болтай", но вместо задержания хакеров фактически стали руководить ими. От действий "Шалтая" пострадали многие высокопоставленные чиновники.

В документе говорится, что в июле 2012 ФБР получило ордер на доступ к почтовому ящику, который, как считали агенты, использовался Алексеем Беланом. Они обнаружили там переписку с неким "брокером" (его имя не раскрывается). Белан и “брокер” ссорились из-за частичной публикации базы данных Formspring – "брокер" считал, что утечку допустил "помощник" Белана.

После серии писем Белан сообщил "брокеру", что базу данных опубликовал не его помощник, а некий "брутер" Никулина. Возможно, речь идет о посетителях форума Inside Pro, пользователи которого методом brute force ("грубой силы", то есть последовательным перебором вариантов) подбирали пароли.

Пользователи форума Inside Pro помогают расшифровать архив, в котором содержится около 5000 паролей

Далее ФБР цитирует переписку "брокера" и покупателя базы: некто Мехмет Созен купил 1000 записей за 5500 евро. Следователи нашли и допросили "брокера", и тот якобы подтвердил, что после сотрудничества с Беланом (тот помогал ему с рассылкой спама) он заинтересовался Никулиным, вышел с ним на связь и купил базу данных, которую также использовал для массовой рассылки почты.

Идентификация Жени и поимка через инстаграм

Согласно документу, первую фотографию Евгения Никулина агенты получили после обыска Александра Еременко, на них он был обозначен как "Женя из Москвы".

Скриншот письменных показаний агента ФБР Джеффри Миллера (абзац располагался на двух страницах)

“Основываясь на моих знаниях и опыте, я знаю, что Женя – это распространенная прозвище для Евгения (Yevgeniy). Я также знаю, что Yevgeniy – это один из способов написания русского имени на английском. Другие способы – Yevgeny и Evgeny", – говорится в документе, подписанном агентом ФБР Джеффри Миллером.

На основе этого агенты следователи сочли, что "Женя из Москвы" и пользователь аккаунта в инстаграме i.tak.soidet – это один человек, Евгений Никулин.

Четвертого октября 2016 года ФБР стало известно, что Евгений Никулин находится в Европе – тот тремя днями раньше пересек белорусско-польскую границу. Агентам были известны номера автомобиля и паспорта россиянина, а также то, что он путешествует в сопровождении девушки. Днем раньше в аккаунте i.tak.soidet появилась фотография, сделанная Евгением в Варшаве.

Детали задержания Никулина в Праге не раскрываются в документе.

Позиция защиты

Незадолго до суда, где рассматривался вопрос об экстрадиции, адвокат Никулина Мартин Садилек передал корреспонденту Настоящего Времени письмо, в котором россиянин описал свою версию событий, а также рассказал о допросах, которые проводили агенты ФБР.

Одного из них он идентифицировал как “Миллера” – а письменные показания для суда составлял агент ФБР Джеффри С. Миллер.

В письме Никулин утверждал, что ему предлагали взять на себя вину за взлом почты кандидата в президенты США Хиллари Клинтон. Вашингтон ведет расследование о вмешательстве российских хакеров в американские выборы и недавно представитель группы расследователей официально объявила, что Россия атаковала системы голосования в 21 штате.

Также в письме из тюрьмы Никулин подробно описывает свои ответы на вопросы о возможном знакомстве с представителями российской политической элиты. Например, он объясняет, что совместное фото с дочерью Шойгу появилось в его инстаграме, так как он "встречал ее в компаниях".

Никулин писал, что зарабатывал деньги перепродажей автомобилей, и не имеет никакого отношения к инкриминируемым ему кибератакам. Он также утверждает, что не знает английского, а из всей компьютерной техники пользуется только планшетом.

На суде предполагаемый хакер сказал, что хотел бы, чтобы его выдали в Российскую Федерацию.

"Я невиновен. Но я согласен с экстрадицией в Россию. Потому что я уверен – там будет честное неполитическое расследование и суд", – говорил Никулин.

Он добавил, что боится, что будет "похищен американцами", если его отпустят на свободу в Чехии. Никулин указал, что во время бесед сотрудники ФБР спрашивали его о знакомстве с высокопоставленными чиновниками и бизнесменами, фото которых были опубликованы в его инстаграме. На суде он пояснил, “знает много разных людей, потому что занимается автомобилями”.

Кроме того, адвокат предоставил Настоящему Времени запрос в "Ростелеком" об IP-адресе, который якобы использовал Никулин. В компании ответили, что у них нет такого клиента, данные о предоставлении адреса недостаточно конкретизированы, а специальные службы других государств к ним с запросами не обращались.

В ФБР отказались от комментариев.