Глава 16 Сыщики

Расследованием киберпреступлений занимаются, в частности, в специальном подразделении МВД — оно называется управление «К» ^{16}. Для группировок вроде Lurk там написали собственную аналитическую программу, выявляющую связи, которые могли упустить следователи, если загрузить в нее собранную информацию: засвеченные IP-адреса, данные серверов, сведения о хакерах, которые ранее проходили по похожим делам.

Полицейские из управления «К» работают в неприметной усадьбе Кирьякова на Петровке, напротив Высоко-Петровского монастыря и в двух минутах от клуба, где часто проходят гей-вечеринки. Заехали они в здание (которое ранее принадлежало поочередно коллекционеру антиквариата, князю Михаилу Оболенскому, ученому-терапевту и зубоврачебной школе) в конце 1990-х, когда было принято решение создать при МВД специальное подразделение по борьбе с киберпреступлениями. «Тогда пошли кардеры, и уже тогда было понятно, что одним из наших основных направлений станет противодействие распространению детской порнографии», — рассказывает мне заместитель начальника управления Александр Вураско.

Эти люди редко ходят на работу в полицейской форме — чаще в джинсах и незаправленных рубашках; у некоторых на руках Apple Watch. Посетителям на входе выписывают ручкой бумажный пропуск; в коридоре на втором этаже стоит застекленный шкаф с подарками, среди них фарфоровая ваза, расписанная под гжель, дар от Службы внешней разведки. Рядом лежит связка баранок.

Работающие в усадьбе занимаются самыми сложными киберпреступлениями, то есть расследуют дела хакеров, объединившихся в группы и хорошо скрывающихся. В управлении несколько десятков сотрудников, для поступления в отдел от них требуют навыков «оперативника, юриста и айтишника одновременно». Находить таких людей сложно, некоторые приходят из Московского университета МВД или Университета имени Баумана, но неизбежно переучиваются.

Каждое утро полицейские собираются в своих отделах на быстрые совещания, каждую пятницу руководство собирает все управление. У многих сотрудников работа часто начинается около пяти утра: в это время принято ездить на задержания. Там, впрочем, бывают не все: технические сотрудники в специальной «чистой» комнате без интернета исследуют изъятые носители информации и другую технику.

«Это в 1999 году можно было именоваться программистом по всему, — рассказывает Вураско. — Сейчас все крайне узкоспециализированно. Бывают ситуации, когда мы не можем самостоятельно разобраться, и не имеет смысл держать штат специалистов, которые декомпилируют вредоносные программы, когда можно обратиться к тем, для кого это хлеб, вроде Group-IB, „Лаборатории Касперского", Positive Technologies. Они могут активно пиариться [на расследованиях], но только мы или ФСБ можем поставить окончательную точку — привлечь к ответственности».

«Наша доблестная милиция не разбиралась тогда в компьютерах, — вспоминал один из хакеров начала 2000-х. — Отдел «Р» (Будущий отдел «К». — Прим. Авт.] через полгода скатился к банальной прослушке за деньги. Крупную рыбу никогда не ловили и не поймают, так как крупной рыбе в России делать тогда было нечего. Банковская система в США и Европе на 50 лет старше нашей, и вариантов для телодвижений там, конечно, больше. Чаще всего люди попадались на случайностях, вещах, не имеющих ничего общего с кар-дин гом».

По словам Вураско, многие российские полицейские до сих пор не разбираются в основах компьютерной безопасности: не знают, что такое IR не понимают, куда отправлять запросы для получения информации по оперативно-разыскной деятельности. Управление «К» часто проводит для следователей и судей курсы, чтобы они понимали, о чем идет речь в делах, связанных с киберпреступлениями.

Управление «К» в последние годы расследовало несколько дел, похожих на Lurk. Работа по ним идет долго: полицейские всегда стараются выявлять всех членов группировки и заводить на них дело как на организованную преступную группировку — иначе, как показывает практика, хакеры получают условные сроки.

— Для общения между собой члены группировок обычно используют jabber-серверы и все основные мессенджеры. Организаторы все ключевые моменты обсуждали по защищенным каналам, — рассказывает Вураско о деталях дела Lurk.

— То есть к ним у вас в итоге не было доступа?

В ответ майор смеется и говорит: «Позвольте мне не отвечать на этот вопрос».

Полицейские из отдела «К» занимаются расследованием только избранных киберпреступлений. Они никогда не расследовали хакерские атаки на российских оппозиционеров и негосударственные СМИ, даже когда им представляли доказательства; к ним крайне сложно обратиться с заявлением о взломе почты или DDoS-атаке на бизнес — такое заявление, скорее всего, не примут.

«В виртуальном пространстве собирать улики и правда гораздо сложнее, чем в физическом, — объяснял [87] Алексей Лукацкий, работающий консультантом по информационной безопасности в Cisco Systems. — Информация собирается по крупицам и требует очень серьезных ресурсов, поэтому атрибуцией злоумышленников занимается мало кто. Если мы говорим о компьютерных преступлениях, которые происходят внутри страны, — например, когда хакерская группировка осуществляет проникновение в банк, — то эти преступления очень плохо расследуются. Ни законодательство, ни квалификация большинства следователей не позволяют эффективно проводить расследование. Все процедуры очень бюрократизированы, поэтому к моменту, когда выдаются ордера на сбор доказательств с видеокамер, логов провайдеров связи и так далее, следы оказываются уже затерты». По словам Лукацкого, действительно хорошо дела такого рода расследуются, «если на стороне жертвы есть компания, которая может собрать и представить доказательства вместо правоохранительных органов», — но и в таком случае суд часто дает преступникам условные сроки, и они продолжают заниматься тем же, чем занимались. Дела чаще всего заводятся по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».

При этом большими группировками вроде Lurk современная российская интернет-преступность, конечно, не ограничивается. Есть у нее и другой огромный сегмент — он находится в даркнете, части интернета, скрытой от лишних глаз. У этого сегмента тоже есть свои главные герои: как и когда-то в случае Carderplanet, ими тоже зачастую оказываются создатели и администраторы форумов.