Российские спецслужбы причастны не только к взлому серверов Демпартии США, но и к разработке вирусов Lurk и WannaCry (первый украл 1,2 млрд рублей со счетов российских банков, а второй парализовал компьютерные сети десятков компаний по всему миру), утверждает арестованный по делу о кибермошенничестве хакер Константин Козловский. Как он рассказал в письменном интервью Дождю, и за кибератакой на США, и за разработкой обоих вирусов стояла ФСБ.
Хакер Константин Козловский — один из арестованных по делу о хищении у банков 1,2 млрд рублей с помощью вируса Lurk. По этому делу летом 2016 года были задержаны несколько десятков человек.
В августе 2017 года в ходе судебного заседания Козловский взял на себя ответственность за взлом комитета Демократической партии США по заказу сотрудников ФСБ. Это следует из протокола и аудиозаписи судебного заседания, опубликованных на странице Козловского в фейсбуке. Интернет-издание The Bell подтвердило подлинность этих документов.
По словам Козловского, его и других хакеров курировал майор ФСБ Дмитрий Докучаев, который в декабре 2016 года был арестован по делу о госизмене. Кроме Докучаева тогда были арестованы его начальник — замруководителя центра информационной безопасности (ЦИБ) ФСБ Сергей Михайлов, сотрудник «Лаборатории Касперского» Руслан Стоянов и бывший сотрудник ФСБ Георгий Фомченков. Их подозревают в передаче американским спецслужбам данных о российских хакерах, писал Дождь. (Адвокат одного из фигурантов дела Иван Павлов не подтверждал информацию о том, что обвиняемые передавали американским спецслужбам данные о российских хакерах).
Сам Докучаев отвергает, что знаком с Козловским.
Телеканал Дождь вступил в переписку с Константином Козловским. Он признался, что его сотрудничество с ФСБ не ограничилось кибератаками на США.
— Все сообщения западных СМИ о русских хакерах — это все я. А Lurk — это только 10% от всей моей деятельности.
— Как вы можете доказать, что участвовали во взломе Национального комитета Демократической партии США?
— На веб-сервере во внутренней сети Демпартии я оставил .dat-файл с номером моей визы на остров Сен-Мартен и номером паспорта. Решил там оставить все это просто на уровне чуйки. Если Штаты сделали снапштоты, можете проверить. Или в бэкапах за сентябрь 2015 года этот файл должен быть. Это основное доказательство, которое я могу предоставить из застенка.
— Участвовал ли еще кто-нибудь из организованной вами группировки Lurk во взломе серверов Демпартии Клинтон?
— Никто не участвовал, так как все, кого арестовали, занимались разработками, пребывая в неведении, на кого и зачем они работают.
Специфика работы так называемого Lurk и его модификаций, а также другого созданного мною софта такова, что и Докучаев, и те, кому он дал доступ, могли самостоятельно вести работу с зараженными объектами.
Проще сказать, что мы не взломали, а создали продукт, который без прикрас взломал всю Россию. Большой вопрос, зачем лично Докучаеву это было нужно. Лично для меня это были обкатка и тестирование.
Конечно, это смешно, когда для «обкатки» продуктов используется «Роснефть», «Газпром», «Лукойл», «Сбербанк», но это было именно так. Отдавал ли Докучаев добытые при этих взломах сведения за границу, я не знаю.
27 июня 2017 год, когда ко мне в СИЗО приходил сотрудник Управления службы безопасности ФСБ, я ему рассказал в том числе про «Роснефть».
— Какие еще продукты вы создавали по заказу спецслужб?
WannaCry — это вирус, который написали мы.
Когда я смотрел телевизионный сюжет, где рассказывали о WannaCry, я увидел до боли похожий мне локер [программа-вымогатель]. «Морду» этого вируса делали люди из моей группы. «Морда» — то что, отображается на компьютере в момент блокировки. <...>
— Чем докажете свои слова о том, что именно ваша группа разработала WannaCry? Специалисты говорят, что сигнатуры вирусного кода совпадают с сигнатурой кода, использовавшегося хакерской группой Lazarus Group (предположительно Северная Корея).
— «Обкатка» WannaCry прошла в компании «Самолет Девелопмент». Но важнее даже то, что мы изобрели специфику распространения вируса: заразить один компьютер в корпоративной сети, поднять привилегии, получить доступ к домену администратора и одной кнопкой остановить деятельность компании любого размера.
Идея одновременного заражения через домены Windows — то есть остановка всех машин предприятия или организации — принадлежит мне. Она должна была «обкатываться» на предприятии «Новолипецкий металлургический комбинат», мы бы попробовали остановить там доменные печи. Сейчас пишу и как-то жутковато.
— Кто еще вместе с вами участвовал во взломе? Разыскиваемый в США россиянин Евгений Богачев? Человек, скрывающийся за никнеймом Guccifer 2.0?
— Я не знаю этого человека, как и всех тех, кого обвиняют в Штатах во взломах из России. Знаком мельком с Никулиным (россиянин Евгений Никулин, подозреваемый во взломе Linkedin, Dropbox и Formspring. — Дождь), познакомились летом 2013 года по автомобильной тематике.
— Как вы начали сотрудничать со спецслужбами?
— 2 апреля 2006 года у меня дома были обыски по мошенничеству, тогда ничего не нашли, а дело замяли. В то время я уже общался с Докучаевым — наше знакомство состоялось на фоне обсуждения взломанного мной Министерства энергетики США, а также поставок «карженной» (купленной по краденным или взломанным кредитным картам. — Дождь) техники из-за границы. Дима тогда еще не был агентом, зато уже уяснил тонкости моей биографии, из-за чего и получилась вся история.
[В 2008] мне дали выбор: [сотрудничество] или они сообщат за границу спецслужбам о моих делах с Amazon и о «карженной» технике. Дима знал, что мне очень нравится путешествовать. И так я стал работать на них, в принципе не отказывая себе в поездках за границу.
Образ жизни я вел довольно скрытный, практически нет фотографий, мобильным телефоном практически не пользовался. Встречался с Докучаевым во время беспорядков на Манежной площади и во время митинга против ареста Навального в лобби гостиницы Ritz Carlton, зарегистрирован в отеле был на свое имя. Также встречался с Докучаевым 24 января 2011 года в аэропорту Домодедово — за 5-10 часов до теракта в зале прилета международных авиалиний.
— Вы отрицаете предъявленные вам обвинения в кибермошенничестве?
— Я не отрицаю того, что мне вменяют, за исключением хищений с корсчетов банка «Таатта», «Металлинвестбанка» и «Грант Инвест Банка».
Да, мои структуры по обналу обналичивали средства оттуда. Однако технически хищения осуществляли Докучаев и компания. Для нагнетания хакерской истерии и выпиливания средства из бюджета, для создания «ФинЦЕРТ» (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. — Дождь) и ему подобных. Работа по юридическим лицам была изначально поставлена сотрудниками ЦИБ ФСБ для материальной подпитки моих проектов. Разрешено было похищать средства для разработки программ, ну и делиться.
— Как вы объясняете свой арест по делу Lurk?
— Видимо, в определенный момент что-то не так пошло внутри самой спецслужбы, из-за этого все и порушилось. Для меня загадка, кто принял это решение, так как они лишаются стратегических разработок ради сиюминутного пиара для «Лаборатории Касперского» (выступала экспертом по делу Lurk. — Дождь) и спецслужб, ради нескольких звездочек. А украденные у меня программы стареют с каждым днем.
[Своими действиями] они усиливают отток мозгов из страны, так как никто теперь не захочет им доверять.
— Большой вопрос по цифровым уликам. Вы пишете, например, что взламывали Министерство энергетики США, сервера Демократической партии — осталась ли у вас дома та машина, с которой вы осуществляли эти взломы?
— Наше задержание — как раз чтобы скрыть цифровые улики. Экспертизы по моим компьютерам не проводились. Назад их мне не отдают. В экспертизе от «Лаборатории Касперского» такая формулировка: «Не удается провести экспертизу в связи с тем, что нужен пароль». Хотя летом я передал пароли Жукову – сотруднику, сопровождающему дело Докучаева. После чего он пропал.
Комментарии упомянутых Козловским компаний
«Лаборатория Касперского» отказалась предоставить комментарий, но дала Дождю ссылки на «на работу сторонних экспертов о WannaCry». Исследования компаний Symantec и FireEye предоставляют косвенные доказательства того, что хакеры, стоящие за распространение WannaCry, могут оказаться группировкой из Северной Кореи. В ФСБ не ответили на вопросы Дождя.
Представитель «Самолет Девелопмент» ответил, что в компании «создана и внедрена система информационной безопасности с использованием средств защиты информации, сертифицированных ФСБ России и ФСТЭК России». В 2015 году компания действительно пережила атаку, по итогам которой 90% ущерба было восстановлено в течение одного дня и 100% — в течение трех дней, сообщили в пресс-службе. «За 2016 и 2017 годы все подобные инциденты были своевременно выявлены и локализованы благодаря вышеуказанным средствам защиты, а также оперативным действиям сотрудников управления информационной безопасности», — добавили в пресс-службе.
Мнение эксперта
Дождь также попросил эксперта по российским спецслужбам, автора книги «Красная сеть» Андрея Солдатова прокомментировать заявления Козловского. Из рассказа хакера Солдатов однозначно возможным назвал лишь «закладку» в код сайта Демократической партии США dat-файла с определенным номером.
В теории Козловский мог передать ФСБ разработанный им софт, но «некоторые вещи передаются, а некоторые – нет», объяснил Солдатов. «Например, то, чем пользуется Fancy Bear (хакерская группировка, которую обвиняют в связях с российскими спецслужбами. – Дождь), не передается», — утверждает эксперт.
Описанный Козловским алгоритм «обкатки» вирусов на крупнейших российских компаниях Солдатов назвал слишком рискованным. «Никогда такого не слышал. Цена вопроса просто очень большая! Просто можно случайно все нарушить. Более того, ты сразу получаешь на свою шею не службу безопасности этой госкорпорации, а ФСБ. Это геморрой. Проще все это пробовать на Украине, обычно это пробуется где-нибудь там», — сказал Солдатов. Описанная Козловским специфика распространения WannaCry подходит для любого трояна. «Он описывает общие принципы», — сказал Солдатов.