Глава 31 «Орки» со товарищи

5 декабря 2016 года — спустя месяц после победы Дональда Трампа на президентских выборах в США — сотрудники ФСБ пришли на совещание к своему коллеге, одному из руководителей Центра информационной безопасности ведомства Сергею Михайлову. Совещание закончилось быстро: Михайлову надели на голову мешок и увели. Его знакомые указывали, что следователи опасались, что Михайлов — обладатель черного пояса по карате — окажет сопротивление. Вскоре Михайлова перевели в СИЗО «Лефортово», где он находится и сейчас.

К моменту ареста сорокалетний Сергей Михайлов руководил 2-м управлением ЦИБ, то есть фактически курировал и хакеров, сотрудничающих с ФСБ, и расследования взломов, связанных с государственной безопасностью. Он часто выезжал на конференции по кибербезопасности, где рассказывал о том, как в России ловят кар-деров.

Михайлову предъявили обвинение в госизмене. Вскоре выяснилось, что связано оно может быть с тем, что именно сотрудник ФСБ раскрыл американским спецслужбам имена российских разведчиков, курировавших атаку на США. Уже после его ареста The New York Times писала [243], что ключевую помощь в поиске хакеров американским спецслужбам оказали источники в России. У Михайлова был доступ к подобным данным; мой источник рассказывал, что у главы 2-го управления ЦИБ ФСБ было много претензий к методам ГРУ: он считал, что там «ломают серверы нагло, топорно и грубо», а следы атак «всегда видны».

Через некоторое время выяснилось, что Михайлов, видимо, был не первым, кого сотрудники ФСБ задержали по этому делу. За день до его ареста, 4 декабря 2016 года, один из топ-менеджеров «Лаборатории Касперского» Руслан Стоянов приехал в московский аэропорт, чтобы вылететь в командировку в Китай. Зарегистрировавшись на рейс, Стоянов отправил об этом SMS жене. На мероприятии в Китае, где его ждали, он на следующий день, однако, не появился. Организаторы поездки сообщили руководству «Лаборатории Касперского», что Стоянов пропал. Через несколько дней компания сообщила, что нашла сотрудника в СИЗО «Лефортово», куда его доставили сотрудники ФСБ.

Стоянов многие годы занимался кибербезопасностью: в начале 2000-х дослужился до звания майора в управлении «К» при Министерстве внутренних дел, работал в отделе безопасности «РТ-Комм. ру» (дочерняя структура «Ростелекома», в 2016 году предо; ставляла услуги связи ЦИБ ФСБ). Потом создал компанию, которая сначала занималась самостоятельными расследованиями, а в 2012-м вошла в состав «Лаборатории Касперского», где Стоянов возглавил отдел расследования компьютерных инцидентов. «Это был созданный внутри департамент, который обслуживал ФСБ и МВД, — рассказывал бывший высокопоставленный сотрудник компании. — Сами они себя называли „орки", им очень нравилось это название».

По словам Евгения Касперского, Стоянов «очень плотно работал с Центром информационной безопасности ФСБ». «Орки» сопровождали группы захвата, когда те задерживали киберпреступников. «Прямо вместе с эфэсбешниками выезжали на точку и не стеснялись этого, Стоянов выкладывал фотоотчет о том, как они захватывали группировку Lurk (см. главу 15. — Прим. Авт.)», — вспоминал один из сотрудников «Лаборатории Касперского».

Задержали Стоянова по делу о госизмене. Видимо, его подозревают в том, что именно он передавал американцам информацию, полученную от Михайлова и Дмитрия Докучаева — еще одного сотрудника ЦИБ ФСБ, которому также предъявлены аналогичные обвинения.

Докучаев, похоже, один из первых российских хакеров, который перешел на постоянную работу в спецслужбы. Компьютерами он увлекался с юности и одновременно, как и многие подростки, сочинял стихи. В 2001 году он, например, написал такие строки:

Linux — Rules, Винда — маздай форева. Так говорили мне друзья. Проверить я решил, купив редхат нулевый. Живя во грезах, диски форматя. Вдруг непонятные экраны и таблицы: Тут нужен своп, а здесь — резервный диск, Смотрю я книги, листаю все страницы… Как кто-то говорил: «без бутыля не обойтись». Уф… Разобрался… Идет формат разделов Мне нужно выбрать компоненты для инсталла Я уж не соображаю, башка вся запотела, Весь ВЫЛОЖИЛСЯ тут, а Linux'у все мало. Проходит час-другой, Ура! удача! Setup complete. со второй попытки. Волнуясь, радуясь, я от счастья плачу, Нет! Это не RedHat, а просто пытка…

Докучаев родился в Каменске-Уральском — городе в часе езды от Екатеринбурга. Последний раз Каменск-Уральский попадал в новости в 2013 году — после того, как там появилась [244] радикальная группировка, преследовавшая гомосексуалов (однажды они приехали с мужчиной на кладбище, заставили его вырвать из земли надгробие, а потом преследовали его на джипе — такие операции активисты называли «сафари»). Сам хакер описывал родной город так: «Насчитывает 200 тысяч жителей, что совсем немного. В Каменске-Уральском очень много заводов, как правило, по металлообработке, — трубный, металлургический, алюминиевый. Городу скоро стукнет 300 лет. Не такой и старый, но уже и немолодой. Немного о достопримечательностях: это, конечно, вам не Москва, но в Каменске есть краеведческий музей, очень много театров, библиотек, стадионов, спорткомплексов и интернет-кафе».

В последних Докучаев в юности и проводил большую часть своего времени — много играл в видеоигры: Worms Armageddon, Need for Speed, Quake 3. Свой первый взлом он совершил в городской сети, чтобы получить бесплатный доступ в интернет. «Я всегда считал, что информация должна быть свободной, поэтому платить провайдеру за предоставление доступа ужасно не хотелось», — вспоминал [245] он.

После школы Докучаев поступил в политехнический институт в Екатеринбурге на факультет информационных систем в технике и технологиях; позже стал работать системным администратором на кафедре одного из екатеринбургских университетов. О себе он подробно рассказывал на своем сайте [246] (сейчас удален), который назывался «Dmitry's homepage. The best…». В 2002 году он без стеснения писал, что «приобретает популярность в инете и не только;) Сотрудничаю с редакцией журнала „Хакер" и получаю приличный гонорар;)». Свой ник — Forb — он образовал от английского слова forbidden, «запрещенный».

В журнале, например, вышел его материал «10 роковых ошибок хакера»: «Хакер — как сапер, первый раз ошибается при выборе своей профессии. Каждый взлом может оказаться для него фатальным, и сам он это осознает. Но не может с этим смириться, считая взлом экстремальным видом спорта. Если ты все еще раздумываешь, «быть или не быть хакером», то я дам тебе совет. НЕТ! Быть хакером уже не так модно, да к тому же опасно. Так что займись лучше чем-нибудь другим, например, продажей школьных выпускных сочинений по русскому языку через интернет:)».

Кроме раздела с найденными программными уязвимостями, на сайте Докучаева был и раздел с его фотографиями: «Я на диване (1997 год)»[247] (подросток в клетчатой фланелевой рубашке и спортивных штанах сидит на диване), в МИФИ, в Крыму, на дискотеке у Черного моря.

В 2004 году Докучаев занимался кардингом и взламывал сайты по заказу — о том, как это делать, он подробно рассказывал на собственном сайте. Своим главным достижением хакер считал взлом одного из правительственных сайтов США. В 2006-м переехал в Москву и стал [248] работать в «Хакере» как штатный сотрудник.

Знакомые Докучаева вспоминали, что после переезда он женился на девушке, которую вскоре научил взламывать сайт русского Cosmopolitan. Хакер и его коллеги много веселились и выпивали вместе, иногда попадая в истории. «Беспредел доходил даже до криминала, клево было, все пати и встречи проходили беспокойно, но весело», — вспоминал один из них. Как-то во время очередной пьянки Докучаев подсадил его на трехметровую высоту, чтобы сломать камеру видеонаблюдения. После этого они убегали от полицейских — и наткнулись на сотрудника ФСБ, от которого хакер «получил в челюсть».

Вскоре Докучаев и сам стал сотрудничать с ФСБ, а потом и перешел туда на работу, став старшим оперуполномоченным 2-го отдела оперативного управления ЦИБ ФСБ — департамента, занимающегося киберзащитой государства и расследованием хакерских дел, связанных с угрозой безопасности страны. Там он трудился до 2016 года, пока его не арестовали.

Один из хакеров, периодически работающих на спецслужбы, сказал мне, что в ФСБ считают: США атаковали хакеры, нанятые ГРУ, но не штатные сотрудники разведки. При этом он уверен, что за Михайловым и Докучаевым следили еще с весны 2016 года.

В апреле 2018 года Докучаев подписал досудебное соглашение о частичном признании вины в передаче данных иностранным спецслужбам. В соглашении, видимо, говорится о передаче данных не о государственных хакерах, а о кардерах. Достоверно узнать, действительно ли сотрудники ФСБ, ранее курировавшие хакеров, сдали их американским спецслужбам, почти невозможно. Судебные процессы по статьям, связанным с госизменой, всегда закрыты от журналистов. В конце февраля 2019 года Михайлова и Стоянова признали виновными в госизмене и приговорили к 22 и 14 годам заключения. В чем именно состояло обвинение, видимо, навсегда останется тайной. Иначе выйдет, что Россия признается в организации кибератак на США.