Адаптация письменного блокбастера Wired об украинском хакере Максиме Попове, который бок о бок с агентом ФБР Эрнстом Гилбертом боролся с восточноевропескими хакерами, а потом обратился против своих покровителей. Действо, не менее захватывающее, чем история из фильма Стивена Спилберга «Поймай меня, если сможешь».
Украинский хакер, который стал секретным оружием, а потом худшим кошмаром ФБР
Январским четвергом 2001 года двадцатилетний житель Житомира Максим Попов с опаской пересек порог американского посольства в Лондоне. Его легко было спутать со студентом по обмену, который собрался подавать документы на визу. На самом деле это был опытный хакер, участник восточноевропейской группировки, которая занималась взломом, вымогательством и мошенничеством на американском рынке. В конце 1990-х волна таких атак создала подобие цифровой холодной войны между США и организованной преступностью из постсоветских стран. Невысокий и пухлый Попов с большими очками на детском лице стал первым дезертиром в этой войне.
Попов четыре месяца вел предварительные переговоры с ФБР и наконец-то отважился полететь в Лондон. Сидя в гостиничном номере недалеко от Grosvenor Square, он одновременно открыл ноутбук и крохотную бутылку виски из мини-бара. Пока он читал email от ФБР, запасы из мини-бара таяли. В письме говорилось, что 19 января он летит в Штаты.
Попов был взволнован. Он распрощался с родителями и старыми партнерами. Еще недавно он находился в международном розыске и чувствовал себя персонажем одного из любимых романов в стиле киберпанк, а сейчас делает крутой поворот в своей жизни и за хорошие деньги продает свои услуги эксперта по безопасности правительству США. Дальше по плану - свой легальный бизнес в стране возможностей.
Когда самолет приземлился в США, Попову стало понятно, что планы меняются - доселе дружелюбный агент ФБР отправил украинца в изолятор и куда-то ушел. Через час он вернулся в компании прокурора с адвокатом и сделкой «подписывай-или-вали-нахер». По ее условиям, Попов будет днем и ночью помогать бюро в поимке его бывших партнеров либо сгниет в казематах ФБР.
Парень был шокирован и считал себя дураком. Его посадили под круглосуточную охрану в домике в Фейр Лейкс, штат Вирджиния. Отсюда он должен был наводить контакты со своими хакерами из восточной Европы. Парень затаил обиду и при помощи жаргона сообщил друзьям, что его прослушивает ФБР. Его обман раскусили спустя 3 месяца. Агенты рвали и метали, а удобный домик сменился на одиночную камеру в тюрьме. В ответ парень послал нахер своих сторожей и кричал, что они не понимают, с кем связались. Но в душе был напуган – вся судебная система США была против него. И только Эрнст Гилберт, агент из заштатного офиса ФБР в Санта-Ана, Калифорния, пытался доказать начальству, что Америка нуждается в Попове куда больше, чем она может себе представить.
Эрнст Гилберт видел, что США стоит на пороге новой эры. Если в 1990-х хакерство, скорее, носило характер хобби, то в начале нулевых это занятие превратилось в профессиональный прибыльный бизнес: море спама захлестнуло интернет, из Восточной Европы хлынули фишинговые имейлы, воровство кредитных карт стало прибыльным бизнесом. В 2001 году восточноевропейские хакеры запустили сайт CarderPlanet – эдакий eBay с ворованными кредитками, рейтингом продавцов, форумом и секцией отзывов с оценками-звездочками.
Впервые в истории мошенник мог проворачивать все махинации, даже не переключая вкладки браузера
Сотни человек стали пользователями CarderPlanet. Гильберт знал, как расколоть эту систему, но сначала ему нужно было расколоть хакера, который однажды обманул ФБР.
Максим Попов родился в Житомире. С компьютером он познакомился на школьных уроках информатики, где стояли украинские копии IBM XT – Поиск 1. Когда Максу стукнуло 15, отец принес домой компьютер и модем. Жизнь обрела новые краски.
После распада СССР на огромном куске суши осталась тьма «технарей», которые вместо перспективной работы в сфере IT остались с перспективой идти работать на завод. Вариант был так себе, поэтому в регионе образовалось мощное хакерское сообщество, и когда на западе начался бум доткомов, на востоке был бум на ворованные кредитки.
Выросший на киберпанке и фильме «Хакеры», Попов сразу решил, что хакерство станет его хлебом. Он был не таким талантливым, как другие коллеги, но брал свое за счет понимания человеческой психологии и знания английского. Первый год своей карьеры Максим отмывал деньги через ретейлеров, которые торговали компьютерами в США. Когда местные бандиты прознали, что у парня завелась валюта, его начали прессовать. Было неприятно, но это вдохновило Максима на новую идею.
В 2000 году команда Попова взломала систему вашингтонского платежного провайдера E-Money и выкрала данные о 38 000 кредитных карт.
Затем был взлом Western Union - и кража данных о 16 000 аккаунтов. После взломов вдохновленный примером рэкетиров, Попов предложил пострадавшим компаниям услуги эксперта по кибербезопасности за вознаграждение в 50 тысяч долларов. Но в США жили по другим законам, и его афера закончилась кошмарно – в E-Money слили Попова ФБР, а Western Union публично сообщил об утечке.
Тогда Попов решился на хитрый ход – предложить свои услуги правительству США, чтобы сбежать от житомирского криминала в теплую Калифорнию. Но вместо этого он застрял в тюрьме Сент-Луиса, которая, по иронии, стояла возле центрального офиса Western Union. По крайней мере, пока за ним не явился агент Гилберт. Похожий на главу семьи из ситкомов 50-х годов, Гилберт бросил карьеру школьного учителя, чтобы в 29 лет осуществить детскую мечту и примерить значок агента ФБР. Первым его делом стала поимка уральского хакера, которого он обманом заманил в Сиэтл, где его и арестовали.
Гилберт понимал хакеров. Выросший в пригороде Сан-Диего, он и сам баловался взломом систем и взял себе имя античного духа Идолин. Гилберт понимал, что благодаря знанию русского языка Попов способен проникнуть туда, куда путь ФБР заказан. Нужно было лишь поглаживать его эго, воздавая должное хакерским способностям парня. Гилберт обсудил свой план с прокурором в Лос-Анджелесе и предложил Попову новую сделку: вместо того, чтобы следить за своими старыми знакомыми, он начнет собирать данные о неизвестных преступниках, с которыми его ничего не связывало. Гилберт обрисовал это как некое подобие работы Джеймса Бонда и добавил: «я уважаю твои хакерские способности». Попов согласился.
Однако Попов мог и не долететь до Калифорнии – в тюрьме он хакнул тюремную сеть с общедоступного компьютера. Его перевели в одиночную камеру, но, по его словам, оно того стоило - Максим истосковался по своей работе. Его пронесло, и на взлом закрыли глаза. В первый рабочий день Гилберт привел закованного в наручники Попова в его кабинет. В ярко освещенной комнате висела доска, а на столах расположились несколько хороших ПК с кириллической клавиатурой и последней версией Windows на борту. По сравнению с тюрьмой, это был овальный кабинет белого дома. Попов был в экстазе – с таким железом он чувствовал себя всесильным.
Их штаб назвали «Городом Муравьев». Вникнув в суть дела, Попов вернулся на CarderPlanet под маской молодого украинского хакера и начал втираться в доверие к местным продавцам ворованных кредиток. Первым Попов вышел на хакера под ником Скрипт, с которым договорился о покупке карт на $400. Когда Скрипт прислал карты по почте, его вычислили по физическому адресу в Украине. Украинская милиция арестовала хакера, но выпустила на свободу спустя полгода. «Контролируемые закупки» карт стали основой стратегии Гилберта: Попов совершал небольшие покупки, не привлекая внимания серьезных хакеров, а Гилберт проводил купленные карты через банк, после чего хакер был у них на крючке.
Шли дни. Иногда Попов сидел за компьютером всего ничего, иногда по 10-12 часов подряд. После работы он возвращался в тюремную камеру, а Гилберт ехал домой к семье. Но на день благодарения агент подготовил сюрприз своему пленнику – он установил в кабинете проектор с новой частью «Властелина Колец» и привез ужин – индейку, запеченную картошку, клюквенный соус, кофе и даже тыквенный пирог. Максим был тронут – Гилберт предпочел провести часть праздника вместе с ним, а не с семьей, хотя не обязан был это делать.
Вести о «Городе Муравьев» стали расползаться по бюро, и другие ведомства ФБР стали обращаться за помощью к Гилберту и Попову. В феврале 2003 года в их штаб пришло самое крупное дело: взлом системы Data Processing International с последующей кражей 8 миллионов банковских карт. Попов начал искать информацию на CarderPlanet и вышел на 21-летнего русского студента под ником RES, который хвастался тем, что «знает трех нужных парней, которые помогут организовать сделку». Попов предложил купить сразу все кредитки за 200 тысяч долларов, но взамен хотел получить контрольную карточку для Гилберта. RES отказался. Попов не был крупной рыбой, и его настораживала сумма сделки в 200 тысяч долларов.
Тогда Гилберт решился на трюк. Он договорился с местным банком, переодел Попова и завел его внутрь, где перед парнем выложили гору наличных долларов и поставили камеру. «Смотри, вот мое бабло. Реальное бабло, никакой болтовни!» – развязано говорил Попов, поднося деньги поближе к камере. – «Все гребаные ватермарки на месте, это не кедло. Так что дай мне свой мобильный и мы поговорим, как бизнесмены».
Этого сообщения оказалось достаточно – русский хакер расслабился и выложил карты на стол. Узнать его настоящее имя оказалось проще простого - Попов похвастался, что работает в компании HermesPlast, которая занимается производством пластиковых карт. И вскользь добавил, что его босс Анатолий Фельдман подыскивает головастых сотрудников. В тот же день RES отправил свое резюме и скан паспорта на фейковую почту Фельдмана. Эта изящная и универсальная схема еще не раз выручала «Город Муравьев».
Дело в том, что Попов хорошо понимал русских хакеров — все, чего они хотели — это получить нормальную работу
8 августа 2003 года Попов прибыл в тюрьму Санта-Ана, чтобы услышать приговор. 8 месяцев напролет он дневал в штаб квартире «Города Муравьев» и ночевал за тюремной решеткой. Учитывая его пользу для государства, судья приговорил Максима к 3 годам домашнего ареста. Гилберт тут же подсуетился и выбил для парня стипендию в тысячу долларов и небольшую квартиру в округе Ориндж, Калифорния, в 8 километрах от Диснейленда. Но его жизнь не стала легче. У Попова не было грин карты и номера социального страхования, он не мог найти легальную работу и получить водительские права. К тому же, он никак не мог привыкнуть к жизни в пригороде поодаль шумного шоссе и полосы минимаркетов.
Однажды на остановке к нему подплыл какой-то забулдыга и начал требовать деньги. Попов испугался и влепил ему в челюсть. Забулдыга упал и уснул на тротуаре, а украинец стал лихорадочно искать номер Гилберта, уверенный, что теперь ему точно не избежать тюрьмы. «Если я выберусь, то свалю домой», - дал себе обещание Попов. Ему повезло – тот же судья Картер, который судил его в прошлый раз, сжалился и разрешил ему съездить повидать родных в Украину. Вернуться в Калифорнию отбывать свой трехлетний срок Максим должен был 18 августа.
Когда Гилберт провожал его на самолет, то понимал, что они видятся в последний раз – Попов не дурак и не захочет возвращаться к такой жизни. Впрочем, за это время отдел «Город Муравьев» вернул 400 тысяч украденных кредиток, обнаружил и предупредил 700 взломов корпоративных систем и поймал 10 хакеров, включая Скрипта. Правда, ни один из них так и не был экстрадирован в США. Они хорошо поработали.
В Украине Попов открыл компанию Cybercrime Monitoring Systems, которая выуживала из темных уголков интернета информацию о возможных взломах со стороны восточноевропейских хакеров
Фактически это была украинская копия «Города Муравьев», которая работала легально. Кстати, Попов продолжал поддерживать отношения с Гилбертом, постоянно снабжая его новой информацией и советами, как в старые добрые времена.
В новогоднюю ночь 2003 года телефон Гилберта зазвонил. На том конце он узнал акцент своего украинского друга: «Привет. У меня есть кое-что для тебя». Попов объяснил агенту, что он обнаружил серьезный взлом - в этом раз жертвой был не банк, а само ФБР. На протяжении месяцев украинец следил за группой российских хакеров, которые пользовались древней технологией X.25. Эта штука была популярна в 70-80 года, но в эпоху интернета выглядела, как старая видеокассета верхом на стопке DVD. Тем не менее, сотни государственных учреждений продолжали использовать эту технологию.
Русские неспешно копались в этом болотце до тех пор, пока не взломали сервер национальной телекоммуникационной компании AT&T в Нью-Джерси, где хранились данные нескольких государственных учреждений, включая ФБР. Неожиданно для себя русские хакеры выудили из болотца сети X.25 целого кита – отныне у них был доступ ко всем почтовым ящикам агентов бюро с адресом FBI.gov.
Спустя несколько часов самолет Гилберта приземлился в Вашингтоне, где его ждала верхушка ФБР. На встрече агент потребовал 10 тысяч долларов гонорара для компании своего друга. В ответ на недовольство начальства (Попов ведь так и не вернулся в США) Гильберт положил на стол 11-страничное досье на крупную шишку с CarderPlanet по кличке Король Артур и список будущих целей бюро с разделением на юрисдикции. Список хакеров, которые находились под прицелом (или уже под колпаком) бюро был золотой жилой для хакеров. Белый Дом уже ввели в курс событий. Ставки росли, и Гилберт попросил Попова о большем.
В секретном чате беглый украинский хакер свел своего друга с лидером группировки X.25. Будучи мастером манипуляций, Гилберт сумел вытянуть из него нужную информацию – парня звали Леонид «Eadle» Соколов, он учился в одном из университетов Питера и признался во взломе. Гилберт был уверен, что держит яйца Соколова в своей руке и это будет крупнейшее дело в его карьере.
Но все пошло не так. 10 февраля Гилберт стоял посреди конференц-зала в центральном офисе имени Гувера. Его сверлили шесть пар глаз – пятеро были членами бюро, по центру сидел федеральный прокурор. Он был зол. Как оказалось, во время взлома хакеры украли программный код VMware, крупнейшего игрока на рынке виртуализации ПК. Это была серьезная проблема.
Попов предложил решить ее за небольшое вознаграждение, но в штабе EMC, боссы которой были на широкой ноге с правительственной верхушкой страны, посчитали это вымогательством. И обратились в ФБР. А теперь прокурор обращался к Гилберту, требуя раскрыть информацию о том, кто такой Денис Пинхаус и почему в рекомендациях он указал имя агента Гилберта. Тот был в курсе, что это рабочий псевдоним Попова, но отказался раскрывать карты. Хотя и понимал, что при желании прокурор может завести дело на Дениса Пинхауса и по хлебным крошкам в архивах ФБР докопаться до настоящего имени Попова. Добравшись до компьютера, в секретном чате Гилберт попросил друга оборвать контакты с EMC и уйти в тень – ситуация становилась слишком опасной.
Тем временем сам он вернулся к делу о взломе AT&T. Вину Соколова быстро доказали, и в Интерпол пришла секретная папка с требованием арестовать русского хакера, как только он выедет из России и покажется в стране, которая экстрадирует в США. А на счету Попова появились 10 тысяч долларов и благодарность за помощь от бюро. Саму историю взлома AT&T быстро замяли – в прессе появилось всего несколько упоминаний об опасном инциденте, но глава пресс-службы бюро сбил спесь с репортеров, сообщив, что хакеры не украли ничего важного.
Казалось, что все закончилось хорошо, но дело о взломе EMC и VMware прочно засело в голове Гилберта. Спустя 4 месяца ему пришел приказ обрубить контакты с Поповым и предоставить расшифровку их общих чатов за последние 18 месяцев. Самого Гилберта перевели из отдела киберпреступности в антитеррористическое подразделение. Он с энтузиазмом отнесся к новой должности, но все шло наперекосяк – его неохотно приставляли к наградам, коллеги избегали его общества, и он чувствовал себя прокаженным.
В 2006 году его отказались повысить и терпение лопнуло. Ворвавшись в офис своего куратора с вопросом «какого хрена происходит», он услышал, что находится под подозрением. Оказалось, что министерство юстиций и отдел внутренних расследований уже год копают под агента, пытаясь установить связь между взломом EMC, Поповым/Пинхаусом и Гилбертом. В бюро считали их соучастниками, но не могли этого доказать.
Он чувствовал себя опустошенным – работа в ФБР была его мечтой, дома его ждали беременная жена и двое детишек, но сейчас прямо перед его носом опустили шлагбаум. Агент начала искать варианты работы в частном секторе и в феврале 2007 года положил на стол босса значок и пистолет. Но последняя глава этой истории еще не была написана.
Гильберт отлично чувствовал себя в роли консультанта, когда Попов снова позвонил ему. С момента их последнего разговора прошло шесть лет. Попов звонил не по делу, он просто хотел поблагодарить старого друга. «Максим прошел сложный путь», – вспоминает бывший агент. – «Он решил изменить свою жизнь. Теперь у него есть дом, есть семья и бизнес. И всем этим он обязан мне. Это были его слова». Звонок был призван расшевелить в Гилберте старое чувство недоверия к государству – с момента его ухода из бюро его продолжали тревожить звонками, расспросами и визитами в офис. Министерство юстиций закрыло дело по EMC лишь в 2009 году, оправдав и Попова, и Гилберта.
В частной беседе журналисту Wired Попов пересказывал то же, что сказал Гилберту. Только лейтмотив был немного другой – Попов затаил обиду на EMC. Когда он звонил Гилберту, эта проблема была решена. Оказалось, что в 2005 году боссы EMC заключили с ним сделку: 30 тысяч долларов за консультацию и еще 40 тысяч за четырехлетнюю защиту программного кода от хакеров.
Когда спустя четыре года Попов попросил вторую часть денег за выполненную работу, ему отказали
На тот момент VMware была отдельной компанией – похоже, EMC хотела спрятать концы в воду, как будто никакого взлома никогда и не было. По крайней мере, так считал Попов.
Такое отношение зацепило Попова за живое, он жаждал справедливости. Попов придумал новое альтер эго – русского хакера Hardcore Charlie, который был связан с группировкой Anonymous. 24 апреля 2013 года, спустя почти 8 лет с момента первого взлома EMC, в сети всплыли первые 520 строчек кода программы VMware.
Утечка заставила нервничать мир IT и наэлектризовала обстановку в офисе VMware в Пало-Альто. Предыдущий взлом еще был свеж в их памяти, к тому же, часть украденного тогда кода все еще использовалась в их софте. Бывший офицер британского спецназа, а ныне начальник безопасности компании Ян Малхолланд активизировал всех специалистов по безопасности, до которых только мог дотянуться. Нужно было защитить ядро программы, чего бы это ни стоило. Спустя 10 дней вышел первый патч, который залатал часть дыр. Когда в ноябре Попов слил вторую часть кода, первую часть кода уже залатали.
По масштабам эта работа была слишком сложной для консультанта по кибербезопасности. Позже Попов подтвердил то, что уже было очевидно — взломы EMC и ФБР не были работой никому не известного российского хакера. «Технически это сделали мы c Соколовым», — сказал автору Wired Попов во время телефонного разговора.
Питерский хакер Соколов, которого в ФБР вели с момента взлома их сервером, работал в паре с Поповым с самого начала. «Он лучший из лучших», - описывает Соколова Попов. Когда они взломали серверы AT&T, то думали, что госкомпания легко расстанется с требуемыми 150 тысячами, чтобы защитить государственные данные и залатать бреши в системе. Когда AT&T отказались, Попов позвонил Гилберту в надежде, что верхушка ФБР окажется более сговорчивой.
Когда они договорились, Попов отдал Соколова Гилберту, так как понимал, что ему ничего за это не будет, ведь никого из обвиненных ранее хакеров не экстрадировали в США. По словам Попова, Гилберт не знал об афере, хотя наверняка о чем-то догадывался.
В свои 35 Попов выглядит дерзким, но слегка утомленным
Он не испытывает сожалений о взломе ФБР. Но его дерзость уходит, когда я спрашиваю о последствиях, которые его двойная игра оказала на карьеру друга. Он все еще помнит день благодарения и «Властелина Колец». «Он был моим единственным другом, – говорит он о Гилберте. – Я люблю его, хотя он и перестал разговаривать со мной, когда эта история получила огласку. Но я взломщик, им и останусь, такова моя натура. Но какая разница? Я все равно люблю его».
В последние 10-летия атаки восточноевропейских хакеров участились. Через дыры в защите сетей магазинов Target и Home Depot они вытащили данные более 100 тысяч карт. Затем был троян ZeuS, здорово потрепавший нервы работникам банковской системы, и вредоносный код, который воровал файлы из кода биткоина. Современный восточноевропейские хакер больше не ворует банковские карты. Он пишет софт, который прилипает к коду банковских систем и ломает их изнутри. А этот софт продает на черном рынке настоящим ворам. Теперь у каждого из них есть специальность, каждому платят. И хотя Гилберт немного ошибся насчет Попова, он был прав в том, что мир находится на пороге новой войны. А их «Город Муравьев» стал одним из первых отделов, который боролся с цифровой чумой.
Для тех, кто хочет знать больше
- 10 самых громких скандалов IT-индустрии
- Как уводят биткоины в Даркнете: мошенники использовали модифицированный браузер Tor, украв десятки тысяч долларов
- «Прощай смартфон, прощай лептоп!»: экскурсия по самому загадочному IT-стартапу Magic Leap
- Поколение Minecraft: почему ваши дети вырастут умнее вас
- «Хардкор»: как русские пытались превратить видеоигру в кино
- 10 браузерных игр, в которые можно поиграть, пока куда-то ушел начальник
Подписывайтесь на наш нескучный канал в Telegram, чтобы ничего не пропустить.
Поделиться