На главную.
Аферы и аферисты.

Ты должен быть богатым! Иначе зачем тебе быть?
( интернет-версия* )

©А.И.Ракитин, 2012-2013 гг.
©"Загадочные преступления прошлого", 2012-2013 гг.

Страницы :     (1)     (2)     (3)     (4)     (5)     (6)     (7)     (8)

стр. 7


     В вещах Максима нашли два паспорта с его фотографиями, но на разные фамилии, а в ноутбуке - обширную базу банковских карт, эмитированных 11 турецкими банками. Также в ноутбуке была личная информация о 5 тыс. владельцах банковских карт из США и стран ЕС - эти данные можно было использовать для подделки документов. Кроме того, на жёстком диске компьютера остались сохранённые логи общения "Максика" в ICQ с различными пользователями - и это была, пожалуй, самая крупная удача следствия. Хотя пагубность случившегося стала для Ястремского очевидна далеко не сразу.
     Максима предали турецкому суду с целым букетом серьёзных обвинений - от хищений в крупных размерах и нарушения банковской тайны, до легализации незаконных доходов. Суд посчитал установленным, что Ястремский лично повинен в хищении средств с 50 тыс. (по меньшей мере) банковских счетов, принадлежавших в т.ч. и турецким гражданам и организациям. К расследованию с самого начала было привлечено ФБР США, специалисты которого обратили самое пристальное внимание на интернет-переписку арестованного. Они быстро поняли, что Ястремский работал в тесном контакте с серьёзной хакерской группой из США, но что это были за люди он объяснить не мог и кроме того, отказался от сотрудничества с ФБР и не стал выходить на связь с Гонзалесом под контролем спецслужбы. В каком-то смысле Максим поступил благородно, приняв на себя весь удар разгневанной Фемиды. Нельзя не признать, что отказ Ястремского от сотрудничества с ФБР США существенно затормозил расследование деятельности группы Гонзалеса.


     Вместе с тем, необходимо заметить, что данная линия поведения явилась не следствием его личного мужества или порядочности, а проистекала из общей стратегии защиты, выбранной в период следствия и суда. Защищался Ястремский на редкость негибко и в каком-то смысле неумно. Он стал на путь полного отрицания вины по принципу "коза не моя и кошелёк не мой"! На голубом глазу "Максик" заявил, что турецкие правоохранители перепутали его с израильтянином Турчаком, который, мол-де, и был настоящий хакер! Да и ноутбуки турки тоже перепутали. "Отмазка", прямо скажем, была очень слабовата - перемещения Ястремского по миру за последние годы без особых затруднений можно было восстановить с точностью до часа. Перемещения ноутбука также отслеживались очень просто по времени и месту выхода в интернет. Понятно, что их совпадение ставило крест на зявлениях арестованного. Наличие французского ордера на арест, пусть и выписанного на другую фамилию, но основанного на серьёзной обвинительной базе, убедительно доказывало, что хакерские действия в Турции были отнюдь не первыми в жизни Ястремского. И хотя французы разыскивали Lord'а Kaisersose'а, доказать, что этот человек и Ястремский одно лицо было лишь вопросом времени и полицейской техники.
     Подводя итог битвы Максима Ястремского с турецким правосудием, остаётся признать, что тот повёл себя как нераскаявшийся рецидивист и лишился всякой надежды на снисхождение. Суд, открывшийся 23 июня 2008 г., приговорил его к 30 годам тюремного заключения и наложил штраф размером 23 200$, посчитав доказанным, что Ястремский повинен в хищении 11 млн.$ и взломе баз данных большого числа компаний по всему миру. Приговор турецкого суда нельзя не признать очень суровым, возможно, он назначен таковым не без давления США, в расчёте, что Ястремский начнёт настаивать на своей выдаче американским властям. Уже после вынесения приговора Максим пытался покончить жизнь самоубийством, но тюремная охрана спасла его.
     Как бы там ни было, в конце июля 2007 г. Альберт Гонзалес остался без своего надёжного украинского партнёра, с которым он так плодотворно сотрудничал. Но идея торговать реквизитами кредитных карт руками иностранцев уже до такой степени завладела воображением Гонзалеса, что тот не мог отказаться от денег, которые сулила такая торговля. Довольно быстро Альберт нашёл людей, которые заменили выпавшего из преступной цепочки Максима Ястремского - ими оказались украинцы Сергей Сторчак и Дмитрий Буряк. Кроме них в доходный бизнес включился гражданин Белоруси Сергей Павлович и итальянец Антонио Дельпьеро. Т.о. Гонзалес не только не лишился своей "сбытовой сети", но напротив, значительно её расширил за счёт привлечения новых лиц, благодаря чему, с точки зрения извлечения прибыли, ущерб, причинённый арестом Ястремского, был минимизирован. Но вот информационную брешь заделать уже было невозможно.
     Изучение содержимого ноутбука Ястремского дало ФБР неопровержимые доказательства того, что в США действует мощная и отлично законспирированная хакерская группа, о которой правоохранительным органам ничего не было известно. Именно эта группа сумела внедрить шпионскую программу на сервер головного офиса TJX (о чём ФБР уже располагало информацией, хотя и непроверенной) и даже передала права на управление этой программой Максиму Ястремскому. Теперь Бюро получило вполне достоверное подтверждение тому, что сервер головного офиса TJX на самом деле стал объектом успешной атаки и на нем некоторое время действовала вредоносная программа-"шпион". Ущерб, который причинила эта программа просто не поддавался определению. "Максик" сохранил на жёстком диске своего ноутбука переписку с американцем, скрывавшимся под nick'ом "UIN201679996". Ястремский открытым текстом просил его переслать полную версию той самой программы, которой была взломана TJX. Тут уж никаких разночтений быть не могло! Благодаря небрежности арестованного украинского хакера, ФБР связало взлом сервера TJX с неким хакером "UIN201679996", отслеживание активности которого навело на мысль о его связи с другим анонимом, действовавшим под nick'ом "cj". Специалисты ФБР предположили, что либо под обеими nick'ами действует одно и то же лицо, либо два, но связанные между собою. Идя по взятому следу, сотрудники ФБР выяснили, что таинственный "cj" несколько раз входил в электронный почтовый ящик soupnazi@efnet.ru. Но как только ФБР попыталось получить установочные данные на лицо, зарегистрировавшее этот ящик, случилось неожиданное. В ФБР обратились представители Секретной Службы США и попросили объяснить, чем вызван интерес федеральных агентов к данному электронному ящику и обладателю nick'а "soupnazi" вообще? И сотрудники ФБР с удивлением узнали, что этим nick'ом лет 5 назад пользовался один из осведомителей Секретной Службы. Этим человеком был Гонзалес, хотя в тот момент его фамилия не называлась.
     Ситуация выглядела двоякой: с одной стороны можно было предположить, что Гонзалес принялся за старые делишки, но с другой стороны, происходившее можно было расценивать как провокацию, призванную подставить невиновного Гонзалеса под удар. Ведь не факт, что "cj" действительно был владельцем электронного почтового ящика - это мог быть хакер, взломавший почту другого хакера (т.е. Гонзалеса). Не надо забывать, что Стивенн Уотт прославился именно взломом почтовых ящиков других хакеров (о чём было упомянуто в настоящем очерке).
     Поскольку вопрос касался лица, оказывавшего Секретной Службе США конфиденциальные услуги, дальнейшее расследование перешло под её юрисдикцию, причём статус следствия резко повысился. Дело было, разумеется, не только (и не столько) в персоне Альберта Гонзалеса, сколько в том, что хакер с nick'ом "UIN201679996" в переписке с Максимом Ястремским признавал своё участие во взломе сервера TJX, что потенциально угрожало интересам миллионов клиентов этой компании. Со стороны Секретной Службы расследование курировал её Директор Марк Салливан (Mark Sullivan), в своё время поработавший в столичном подразделении Секретной Службы, занятом как раз расследованием мошенничеств в финансовой сфере. В состав Специальной Межведомственной следственной группы помимо агентов USSS вошёл ряд высокопоставленных чиновников, в частности Помощник Генерального Прокурора США Стефен Хейманн (Stephen Heymann), руководители крупных территориальных подразделений Министерства юстиции США Уилльям Кампос (William Campos) и Дональд Кэйбэлл (Donald Cabell), сотрудники Отдела по расследованию преступлений с использованием высоких технологий Министерства юстиции США Кимберли Кифер Перетти (Kimberly Kiefer Peretti) и Ивэн Уилльямс (Evan Williams). Любопытно, что Кимберли Перетти несколькими годами ранее работала вместе с Альбертом Гонзалесом над разоблачением сети "shadowcrew". Бригаду сотрудников Секретной Службы, привлёченных к оперативному обеспечению работы Специальной Межведомственной группы, возглавил специальный агент центрального аппарата USSS Питер Кэннон.

    

Слева направо: Стефен Хейманн, Помощник Генерального Прокурора США; Марк Салливан, Директор Секретной Службы США; Питер Кэннон, старший специальный агент Секретной Службы. Все эти люди входили в Специальную Межведомственную группу, созданную для поиска таинственной организации американских хакеров, взломавшей сервера компании TJX, о чём в точности стало известно после изучения переписки, сохранившейся на одном из ноутбуков Максима Ястремского.


     Так развивались события во второй половине 2007 г.
     В это же самое время виновник всей этой суеты, словно почувствовав сгущавшиеся над головой тучи, резко изменил образ жизни. Гонзалес практически перестал жить в люксовых номерах дорогих отелей и купил квартиру с двумя спальнями в Майами в не очень-то престижном районе, расположенном далеко от моря. Покупка по местным меркам была весьма скромной (да и по меркам самого Гонзалеса тоже). Опасаясь, что неуправляемый Дэймон Туи сможеть попасть в какую-то переделку и создать всей группе много проблем, Альберт почти не оставлял его одного. Несколько раз он запирал дружка в своей квартире, точно в тюрьме, а сам уезжал на несколько дней и Туи стоически переносил заточение. Но если проблемы с Туи хоть как-то удавалось урегулировать, то со Стивенон Уоттом всё обстояло куда хуже. В конце-концов, исчерпав все инструменты воздействия и аргументы убеждения, Альберт Гонзалес практически прекратил своё общение с ним. Пришлось ему поставить крест и на запланированных совместных с Уоттом финансовых операциях, вроде отмывания денег или открытия ночного клуба в Нью-Йорке - все эти идеи были неплохи, но с подсевшим на наркотики Стивеном вести денежные расчёты становилось решительно невозможно.
     Впрочем, мавр уже сделал своё дело, другими словами - написал нужную программу. Впоследствии Гонзалес не без гордости признавал, что созданная Стивеном Уоттом "blabla" не определялась никакими антивирусами - Гонзалес лично провёл более 20 таких тестов. Альберт относился к программе как охотник за вампирами к серебрянной пуле, используя программу очень аккуратно, дабы раньше времени не раскрыть факт её существования.
     После успешного 3-месячного использования "blabla" против "Dave & Busters" Гонзалес лично деинсталлировал её. Факт использования вредоносной программы на тот момент так и остался тайной для владельцев ресторанной сети. Далее, всё в том же августе 2007 г. Альберт запустил "blabla" в компьютерную сеть крупной торговой компании "7-Eleven". Годом ранее её магазины показали величину продаж в 15 млрд.$ и это была вполне достойная цель! В зависимости от того, какие запросы выставлял хакер, программа собирала для него то финансовую отчётность для налогового надзора, то внешнюю переписку компании, то зарплатные ведомости, то анкетные данные работников. Гонзалес копался в документации одной из крупнейших в мире торговых копрораций словно в бумажках в собственном письменном столе. Ему удалось скопировать реквизиты банковских карт части клиентов компании, но в какой-то момент системные администраторы "7-Eleven" заметили подозрительную активность в собственной сети и попытались ей воспрепятствовать. Гонзалес, не желая привлекать внимание к собственной деятельности, моментально свернул всю работу и деинсталлировал программу.
     Некоторое время у него ушло на выбор объекта следующей атаки. По здравому размышлению, Альберт решил действовать в регионе, удалённом от его родной Флориды. Обострённое чувство опасности заставляло опытного хакера оставаться максимально осторожным. Видимо, руководствуясь замечательным принципом "не гадить там, где живешь", он в ноябре 2007 г. выехал за пределы штата и направился в Новую Англию, район США, расположенный в северной части атлантического побережья страны. На этот раз объектом хакерского удара была выбрана торговая сеть "Hannaford Brothers", включавшая в себя примерно 1,4 тыс. магазинов на востоке США. Конечно, это была цель попроще, нежели "7-Eleven", но и здесь можно было сыскать поживу, вполне достаточную для запросов Гонзалеса.
     Альберт успешно "подсадил" свою вредоносную программу на один из серверов "Hannaford Brothers" и внимательно изучил ставшую доступной документацию компании. Что именно он там украл в точности неизвестно - впоследствии от руководства компании не последовало заявлений о причинённом ущербе. Однако, именно изучение внутренней отчётности "Hannaford Brothers" и подтолкнуло Гонзалеса к следующему шагу, собственно и обеспечившему Альберту совершенно уникальное положение среди хакеров всех времён и народов - речь идёт о "взломе" платёжной системы "Heartland payment systems".

Создатель и бессменный руководитель платёжной системы "Heartland payment systems" миллиардер Роберт Карр. В одном из интервью Карр сознался, что хищение архива компании "Хёртлэнд" хакерской программой Гонзалеса явилось для него крупнейшим потрясением в жизни.


     Сама по себе "Хёртлэнд" не являлась и не является мировым лидером по обслуживанию банковских карт и, в отличие от платёжных систем "Visa" или "Master card" почти неизвестна в России. Это исключительно американская компания, работающая в банках и торговых точках Восточного побережья США и Канады. Её безусловным достоинством является динамичность развития и привлекательные условия для банков-эмитентов карт. Созданная в 1997 г. мультимиллионером Робертом Карром (Robert O. Carr) компания "Хёртлэнд" выросла к 2007 г. в мощную платёжную систему, карты которой принимались почти в 240 тыс. торговых точках и банкоматах США и примерно в 10 тыс. - Канады. Магазины "Hannaford Brothers" работали с картами системы "Heartland payment systems" и это обстоятельство, видимо, как-то повлияло на выбор Гонзалесом объекта следующей атаки.
     Не совсем ясно как и что именно было сделано Гонзалесом и Туи с этой целью (данная информация, видимо, умышленно скрыта правоохранительными органами США с целью не плодить последователей), но известно, что 27 декабря 2007 г. они внедрили "blabla" на один из серверов компании "Хёртлэнд" и... затихли на несколько дней. Невероятно - но факт!- хакерам удалось добраться до "святая святых" платёжной системы - реестра обслуживаемых платёжных карт. Его величина в точности никому неизвестна - клиентская база является самой ценной наработкой компании, ценнее этой информации не может быть ничего. Во всех смыслах.
     Трудно сказать, какие чувства испытал Альберт Гонзалес, когда связавшись по vpn-каналу с "родной" программой он увидел архив данных колоссальной величины - там хранились реквизиты миллионов - нет!- десятков миллионов эмитированных разными банками платёжных карт. Понимая, что такое "богатство" невозможно скопировать за один или два раза (просто из-за величины цифровой библиотеки), Альберт отдал команду осуществлять копирование небольшими порциями и все электронные письма с ворованными данными пересылать на почтовые сервера в Нидерланды, Латвию, Украину, Сингапур и др.страны. Впрочем, понятие "небольшая порция" в данном случае весьма условно - ежедневно "blabla" копировала и пересылала шифрованными письмами реквизиты примерно 1 млн. банковских карт. Удивительно, но системные администраторы "Хёртлэнд" на протяжении многих дней не замечали как с их сервера по всему миру разлетаются десятки нечитаемых писем, которые генерирует непонятно кто и с какой целью. Можно, конечно, говорить, что при большом документообороте и интернет-траффике несколько десятков писем это такой пустяк, который отследить вообще невозможно, но на самом деле это не так. То, что специалисты по IT-безопасности компании "Хёртлэнд" на протяжении длительного времени не замечали хакерского траффика, свидетельствует об их профессиональной некомпетентности. Что впоследствии руководство платёжной системы и признало.
     "Хёртлэнд" была мало известна в Восточной Европе и её банковские карты с точки зрения возможной обналички не представляли для тамошних хакеров большого интереса - местные банкоматы их попросту не принимали. Но зато ворованные реквизиты можно было продать хакерам из Юго-Восточной Азии и с Дальнего Вотока - филлипинцам, японцам, китайцам. Жителям этих стран было проще въехать в США, чем белорусам или украинцам, а кроме того, в Штатах имелись многочисленные диаспоры выходцев из государств этого региона. Для них реквизиты банковских карт "Хёртлэнд" представляли значительный интерес по той простой причине, что обналичку по поддельным картам можно было осуществить в самих США. Гонзалес ориентировал своих "славянских коллег" на продажу ворованных реквизитов именно "азиатам". Примечательно, что сам Гонзалес продажей не занимался, перепоручив мелооптовую торговлю "славянам".
     С началом 2008 г. "Хёртлэнд" столкнулась с валом мошеннических операций с собственными картами. Первоначально подозрения были связаны с возможной утечкой информации из какого-либо банка-эмитента карт, однако очень скоро стало ясно, что хакеры располагают информацией о картах, эмитированных в разное время разными банками. А это означало, что утечка информации происходит из самой компании "Хёртлэнд". Открытие это было крайне неприятным и если это предположение соответствовало действительности, то следствием могли стать не только огромные финансовые потери, но и репутационный ущерб, размер которого вообще не поддавался определению.
     Руководство "Хёртлэнд" обратилось к ФБР за помощью в изобличении мошенников, а ФБР в свою очередь проинформировало о происходившем Секретную Службу США. Тут-то и выяснилось, что Межведомственная группа Министерства юстиции США и Секретной Службы уже несколько месяцев идёт по следу хакерской группы.
     В силу понятных причин многие детали расследования остались скрыты и от средств массовой информации, да и самих хакеров тоже. Правоохранительные органы незаинтересованы в раскрытии технологии выслеживания и сбора доказательств виновности по такому весьма специфичному роду правонарушений, как преступления с использованием интернета и компьютерной техники. Ясно лишь, что сбор улик в отношении преступников, имеющих высокую профессиональную подготовку - а Гонзалес и члены его команды были как раз таковы - является процессом крайне непростым и продолжительным по времени. Известно, что за Гонзалесом в течение длительного времени велась слежка силами групп наружного наблюдения Секретной Службы, а также отслеживались техническими средствами все его связи - по сотовым телефонам и через интернет. Постепенно был вскрыт весь круг его общения, хотя роли отдельных его "компаньонов" отались для правоохранительных органов не до конца ясны.
     В процессе слежки сотрудники Секретной Службы не без удивления узнали, что Альберт Гонзалес поддерживает отношения со штатным сотрудником отделения ФБР в Майами. Гонзалес оказался "конфидентом", или говоря проще, осведомителем офицера спецслужбы и этот момент правоохранительные органы постарались в дальнейшем максимально заретушировать. Неизвестно когда Альберт пошёл на сотрудничество с ФБР и каков был характер информации, поставляемой хакером своему "куратору". Однако, отношения между ними явно были весьма неординарны - при содействии ФБР Гонзалес умудрился оформить гражданство Хорватии и получил на руки хорватский паспорт. Этот момент, кстати, долгое время скрывался и был признан американскими властями лишь в 2011 г.
     Примечательно, что Альберт не скрывал связь с ФБР США от своих товарищей - об этом знали как минимум двое из них (Кристофер Скотт и Джонатан Джеймс).
     В то время, пока вокруг Гонзалеса и его товарищей постепенно затягивалась петля, шпионская программа продолжала потрошить недра серверов "Хёртлэнд". С конца декабря 2007 г., когда программа была успешно внедрена и запущена, до остановки её работы в начале мая 2008 г. "blabla" выслала на указанные Гонзалесом электронные почтовые ящики реквизиты более чем 130 млн. банковских карт! Это был абсолютный "хакерский рекорд", если, конечно, уместно говорить о рекордах воровства. Никогда прежде мошенники не получали доступ к такому количеству банковских счетов и чужих денег. Общий ущерб, причинённый клиентам "Хёртлэнд", не поддаётся определению в принципе, поскольку значительно число хищений денег с банковских карт остаётся незамеченными их владельцами (которые, соответственно, не заявляют о мошенничестве).


     Однако этот успех Гонзалеса оказался его же "лебединой песней". В начале мая 2008 г. руководство правоохранительными органами США посчитало, что в отношении хакеров собрано достаточно материала для выдвижения обвинений и можно производить их аресты. Единственным человеком из всей "флоридской группы", арест которого в тот момент не планировался, оказался Джонатан Джеймс. В 2007 г. он заметно отдалился от других участников группы, вёл очень замкнутый образ жизни, неделями не покидая дом отца, из-за чего отыскать и официально зафиксировать компрометирующие его материалы оказалось почти невозможно. Тем не менее, мало кто сомневался в его активном участии в деятельности группы Гонзалеса, особенно на начальном этапе её существования, так что Джеймс оставался под сильным подозрением. Были оформлены в общей сложности 93 ордера, предусматривавшие аресты Гонзалеса, Скотта и Туи, а также обыски мест их проживания, домов и квартир родственников, автомашин, изъятие для последующего изучения специалистами всех компьютеров, а также наложение арестов на все банковские счета и личное имущество арестованных. Также предполагалось обыскать место проживания Джонатана Джеймса и автомашины как его личную, так и отца, и брата. Поскольку все члены группы были вооружены огнестрельным оружием, обыски и аресты планировались с привлечением групп спецназа ФБР и Секретной Службы.
     Основные события развернулись 7 мая 2008 г., когда и были произведены аресты. Случившееся вызвало настоящую сенсацию и попало во все выпуски новостей. Гонзалес был арестован в Майами, в отеле "National", при себе он имел пистолет "Глок" 26-го калибра, 23 200 $ наличными и хорватский паспорт. И, конечно же, два ноутбука - последние явились, по-видимому, самым ценным приобретением следствия! В его квартире был арестован Дэймон Туи. Также направились за решётку Кристофер Скотт - всё было сделано так, как и планировалось.

    

Слева направо: пистолет с двумя снаряженными обоймами, обнаруженный в вещах арестованного Гонзалеса; хорватский паспорт Альберта Гонзалеса; наличные деньги, изъятые у хакера при аресте.


     Сивен Уотт в то время оставался на свободе - его связь с группой была не до конца понятной, несмотря на прослушивание телефонных переговоров с Гонзалесом.
     В доме Джонатана Джеймса был проведён обыск и изъяты все компьютеры, в т.ч. и его отца (который являлся профессиональным программистом и компьютер для него был не роскошью и не развлечением, а орудием труда). Арест "товарищей по команде" и обыск в доме повергли Джонатана в тяжелейшую депрессию - тот очень болезненно перенёс случившееся и на протяжении последующих дней мог говорить только об этом. 17 мая Кристофер Скотт был выпущен до суда под залог и сразу же примчался к Джонатану в гости. Очевидно, хотел поделиться с товарищем впечатлениями о том, каково оно - оказаться за решёткой. Однако этот визит вызвал у Джонатана всплеск эмоций, близкий к истерии - он стал кричать на Кристофера, что своим визитом тот компрометирует его, что им незачем встречаться и вообще, у них не было и не будет общих тем для общения. Совершенно очевидно, что Джонатан испугался того, что визит освобождённого из тюрьмы друга вызовет его собственный арест. Возможно, он даже заподозрил, что на теле Кристофера укреплён скрытый микрофон, как это иногда показывают в детективных кинолентах - в общем, Джонатан перепугался не на шутку.


(в начало)                                         (окончание)


eXTReMe Tracker