Преступление без границ, или как хакеры, не выходя из дома, украли 10 миллионов долларов за океаном
Это уголовное дело началось с запроса Федерального бюро расследований (ФБР) Министерства юстиции США, поступившего в Следственную службу в марте 2009 года. В запросе заморские коллеги попросили нас «найти и обезвредить» особо опасного хакера, которому в ноябре 2008 года удалось украсть у корпорации «RBSWorldpay» около 10 миллионов долларов. В запросе были указаны IP-адрес и никнейм, то есть сетевое прозвище предполагаемого злодея. Поручено – надо исполнять!
В изначальном значении хакер - высокопрофессиональный и весьма любопытный программист, способный к нетривиальным решениям. Будучи искушенным в тонкостях компьютерных систем, такой программист способен принести как большую пользу, так и нанести существенный урон. В настоящее время слово «хакер» используется почти исключительно как обозначение человека злонамеренного, асоциального и безусловно опасного, то есть является синонимом слова «взломщик» в применении к компьютерам и сетям. Надо отметить,что сегодняшний компьютерный вредитель вовсе не обязательно высокопрофессионален – существует огромное количество готовых инструментов для взлома компьютерных сетей и серверов, доступных для применения любым желающим.К сожалению, желающих обычно предостаточно, так что взлом на сегодня является вполне серьезной проблемой.
Первым делом был направлен запрос в оперативное подразделение Управления, специализирующееся на выявлении и пресечении преступлений в сфере компьютерных технологий. Ответ из этого подразделения дал нам информацию о месте нахождения компьютера с искомым IP-адресом. Кроме того, оперативников заинтересовала информация, полученная от ФБР США.
Через некоторое время в Следственную службу поступили результаты оперативного розыска, содержащие данные о лицах, возможно, причастных к совершению хищения. Оперативным работникам удалось установить их места жительства, работы. Однако, достоверных данных, свидетельствующих о том, что именно эти люди похитили деньги американской корпорации, оперативным путем установить не получилось. В связи с этим, на совместном совещании было принято решение о проведении в рамках доследственной проверки активных следственных действий – обысков и допросов возможных преступников.
Ранним апрельским утром в одной из квартир в жилом доме по улице Рубинштейна раздался настойчивый звонок. Дверь открыл невысокий сутулый молодой человек. Он представился Виктором П. Именно он и был интересен следователям и оперработникам. На предложение выдать предметы, документы и ценности, имеющие отношение к хищению денежных средств корпорации «RBSWorldpay», Виктор ответил, что ни он, ни проживающий с ним родной брат – Алексей, не имеют никакого отношения к краже американских денег. Это заявление не смутило членов следственно-оперативной группы, более того – не удивило. В результате тщательного обыска в квартире П. обнаружили денежные средства в крупном размере, компьютерную технику, документы о регистрации дорогостоящего имущества, ставшие впоследствии важнейшими доказательствами.
Одновременно с квартирой Виктора П. в тот день обыскали ранее арендованную им квартиру, из которой была осуществлена кибератака на сервер корпорации «RBSWorldpay». В этой квартире нашли и изъяли значительную сумму денег и компьютерную технику, принадлежавшие П. Также обыску подверглись офис фирмы Виктора П. и несколько квартир его приятелей. Причастность последних к расследуемому хищению в дальнейшем не подтвердилась.
Виктора П., его брата и несколько их приятелей по окончании обысков доставили на допросы в Следственную службу. На допросах молодые люди вели себя уверенно, настойчиво отрицали свою причастность к кибератаке и хищению денежных средств корпорации «RBSWorldpay». Так как очевидных, явных доказательств причастности тех или иных людей к совершению атаки на сервер американской корпорации на тот момент в распоряжении следователей не было, то приняли решение отпустить допрошенных и понаблюдать за их действиями.
Вместе с тем, поскольку компьютерная техника, обнаруженная в квартирах, в которых проживал П., согласно заключению специалиста, содержала следы доступа к электронным адресам, с использованием которых была осуществлена атака на сайт «RBSWorldpay», Следственной службой Управления было возбуждено уголовное дело по признакам неправомерного доступа к компьютерной информации, расследование которого было незамедлительно взято на контроль руководством ФСБ России.
На первоначальном этапе при активном содействии Следственного управления и Управления международного сотрудничества ФСБ России были организованы совместные консультации между членами следственно-оперативной группы и представителями таких иностранных правоохранительных органов, как ФБР МЮ США, Секретная служба США, Прокуратура США, Криминальная полиция Эстонской Республики, Полиция Королевства Нидерланды. В эти страны были направлены запросы о правовой помощи с целью получения необходимых доказательств. Адресаты таких запросов обеспечили членам следственно-оперативной группы возможность присутствовать при производстве следственных действий, что значительно ускорило ход исполнения этих запросов.
В результате плодотворного общения с коллегами из США, Эстонии и Голландии стал понятен механизм совершенного Виктором П. и его подельниками преступления. Осенью 2008 года пообщавшись в сети Интернет, Виктор П. (г.Санкт-Петербург), Евгений А. (г.Новосибирск) и Сергей Ч. (г.Таллинн) решили «подзаработать». Ч. приобрел в Интернете скрипт (небольшую программу, включенную в состав Web-страницы, позволяющую обойти систему защиты сайта) одного из сайтов подразделения международной корпорации «RBS» – «RBSWorldpay», занимающейся обслуживанием огромного количества кредитных карт. П. с помощью этой программы смог не только проникнуть в компьютерную сеть «RBSWorldpay», но и похитить файлы с данными 15 000 000 кредитных карт, позволяющие на периферийном компьютерном устройстве – «кард-ридере», имеющемся в свободной продаже, изготовить неограниченное количество копий этих карт. Естественно, злоумышленники располагали PIN-кодами ко всем похищенным картам. Для «работы» они отобрали случайным способом 42 зарплатные карты. Далее Виктор П. путем модификации данных на сервере «RBSWorldpay» увеличил баланс на каждой из отобранных карт до 500 000 долларов США, при этом «отменив» лимит снятия наличных денежных средств. Эта «бесценная» информация уместилась в 42 строчки сообщений интернет-пейджера «Jabber», адресованных Сергею Ч. и Евгению А., которые знали, что делать с этими строчками. Они направили их посредством того же интернет-пейджера в различные уголки мира проверенным «нальщикам», то есть людям, которые изготавливают поддельные банковские карты и организовывают съем денег в наличном виде из банкоматов. Сергей Ч., Евгений А. и Виктор П. решили, что вознаграждением для «нальщиков» станут 40-50 % от снятой ими суммы. Неплохой процент, но, если можно так выразиться, - «заслуженный». Дело в том, что эти самые «нальщики» рискуют оказаться в тюрьме в несколько раз больше, чем люди, совершившие похищение данных банковских карт. Ведь они с поддельными картами лично ходят в охраняемые банки, торговые центры, различные учреждения, где установлены банкоматы, и снимают, а по сути – похищают, денежные средства. По этой причине они нередко оказываются в полицейских участках и отделениях милиции.
Здесь уместно будет остановиться на обстоятельствах, которые привели Сергея Ч., Евгения А. и Виктора П. на скамью подсудимых. После того, как к хищению денег корпорации «RBS» все было готово, а информация, позволяющая изготовить копии банковских карт, была отправлена «нальщикам», Евгений А. и Виктор П. попросили Сергея Ч. ни в коем случае не обналичивать деньги на территории Эстонии. Они объяснили это тем, что в Эстонии проживает всего около 1 300 000 жителей и финансовая разведка наверняка заинтересуется сомнительными операциями по снятию наличных с американских банковских карт, да еще и в таком количестве. Как в воду глядели! Ч. решился втайне от подельников похитить деньги «RBSWorldpay». Трем его «нальщикам» удалось снять в Эстонии около 400 000 американских долларов, но уйти от эстонской полиции не удалось. Их задержали прямо около банкоматов с поддельными банковскими картами и полными карманами похищенных денег. Эти нальщики, как и Ч., оказались рецидивистами – ранее они привлекались к уголовной ответственности за аналогичные грязные делишки. Эстонские полицейские связались с «RBSWorldpay» и сообщили о том, что со счетов обслуживаемых этой фирмой банковских карт похищены крупные деньги. Американцы не сразу выявили «утечку» денег, но когда поняли, что система взломана – ахнули! Не хватало чуть более 10 000 000 долларов США! Так началось это международное уголовное дело.
ФБР США придало делу «RBS» особое значение, несмотря на то, что материальный ущерб потерпевшей корпорации возместила страховая компания. Надо сказать, что общий ущерб от преступления возрос до четверти миллиарда долларов США. Кроме похищенных 10 000 000 долларов США, «RBS»потеряла около 200 000 000 долларов США в качестве штрафа компании «Visa» за ненадлежащую защиту данных банковских карт и около 40 000 000 в счет оплаты перевыпуска 15 млн. похищенных карт, усовершенствования системы компьютерной безопасности и других издержек.
К марту 2009 года спецслужбами США было собрано значительное количество доказательств, свидетельствующих о том, что крупнейшая в мире кража была организована и спланирована жителями Эстонии, России, Украины и Молдовы. На основании материалов, полученных американцами и эстонцами, в мае 2009 года к уголовной ответственности был привлечен житель г. Таллинна Сергей Ч.
Теперь вернемся в Петербург. Как уже говорилось, в июне 2009 года на основании материалов, полученных из США и оперативного подразделения петербургского Управления ФСБ России, было возбуждено уголовное дело по факту неправомерного доступа к компьютерной сети корпорации «RBS». Уже в июле 2009 года следственно-оперативной группе удалось собрать доказательства вины в совершении кражи денежных средств корпорации «RBS», неправомерного доступа к компьютерной системе и незаконном сборе сведений, составляющих банковскую тайну названной компании, предъявить Виктору П. обвинение в содеянном и избрать в отношении него меру пресечения в виде содержания под стражей.
Сначала Виктор П. не давал никаких показаний, пользуясь правом, предоставленным ему, как и любому россиянину, статьей 51 Конституции России. Он поведал лишь о том, что является бывшим сотрудником МВД, работавшим несколько лет экспертом в УВД г. Томска, и знает лучший способ защиты – молчание. Был даже организован допрос в следственном изоляторе на Шпалерной улице Санкт-Петербурга с участием следователей ФСБ России и специальных агентов ФБР США, но и им российский хакер ничего не рассказал.
А тем временем следователи и оперативные работники ФСБ России продолжали изобличать Виктора П. Так, в ходе следственных действий на территории Эстонской Республики подельник Виктора П. Сергей Ч. уверенно опознал по фотографии П., как человека, совместно с которым похитил денежные средства корпорации «RBS». При этом Ч. отметил, что Виктор П. является первоклассным специалистом в области взлома компьютерных систем, и его роль в совершенном преступлении свелась к взлому компьютеров «RBS», извлечению данных о «кредитках» и обработке этих данных таким образом, чтобы стало возможным изготовить неограниченное количество копий для дальнейшего практически неограниченного снятия наличных.
Кроме того, Ч. поведал членам следственно-оперативной группы о том, что в Новосибирске живет человек, который совместно с ним организовал то самое неограниченное снятие наличных денег по всему миру. Также он рассказал о том, что им помогали еще два человека, по его мнению, проживающие в Молдове и Украине. Однако имена и фамилии этих людей он не знал – ему были известны лишь их сетевые псевдонимы («никнеймы»). Огромной удачей для следствия и неудачей для П. было то, что они лично встречались с Ч., что позволило последнему не только опознать, но и сообщить фамилию и имя своего петербургского сообщника.
В городке Хаарлем Королевства Нидерланды следственно-оперативная группа получила образ (копию) жесткого диска сервера, арендованного П. для дистанционного управления им при проникновении в сеть корпорации «RBS». На этом сервере сохранились следы, ведущие к квартире, снимаемой П. в ноябре 2008 года на севере Санкт-Петербурга. Этот факт в дальнейшем подтвердило заключение экспертов по результатам проведенной компьютерно-технической экспертизы.
По возвращении в Санкт-Петербург следователями вновь полученные доказательства были незамедлительно использованы – предъявлены для ознакомления обвиняемому П. и его известному петербургскому адвокату Н. Сторона защиты предпочла взять паузу для выработки дальнейшей позиции.
Надо отметить, что этот разговор состоялся в августе 2009 года, а накануне в уголовно-процессуальный закон была включена глава 40.1 «Особый порядок принятия судебного решения при заключении досудебного соглашения о сотрудничестве». Согласно новелле, обвиняемый при заключении досудебного решения и выполнении всех обязательств, указанных в нем, имеет возможность сократить не менее чем наполовину срок лишения свободы, назначенного судом. В случае с П. это не десять лет лишения свободы, а пять. Существенный повод задуматься.
В результате раздумий П. совместно с адвокатом принял решение дать признательные показания по всем пунктам своего обвинения и заключить с прокуратурой города Санкт-Петербурга одно из первых в Северо-Западном федеральном округе досудебное соглашение. Следствие поддержало заявленное П. ходатайство , и в октябре 2009 года такое соглашение было заключено. В нем было указано о том, что П. обязуется давать полные и правдивые показания, изобличающие как его, так и его сообщников, выдать похищенные денежные средства, оказать содействие при производстве компьютерно-технической судебной экспертизы.
П. выполнил все пункты взятых на себя в рамках досудебного соглашения обязательств. Он признался в совершении всех трех инкриминируемых ему преступлений, дал развернутые показания в отношении обстоятельств содеянного и имущества, приобретенного преступным путем. Также П. сообщил пароли к изъятым компьютерам и носителям информации, участвовал в проведении экспертизы по делу. В результате по показаниям П. был задержан и обвинен в совершении кражи денежных средств житель г.Новосибирска А. Уже на первых допросах А. дал признательные показания, ходатайствовал о заключении досудебного соглашения на аналогичных с П. основаниях и выполнил взятые на себя обязательства. А. сообщил следствию данные о Т. – своем давнем друге, который по его просьбе с помощью поддельной карты похитил у корпорации «RBS» около 100 000 американских долларов. Т. также был привлечен к уголовной ответственности.
Таким образом, в результате плодотворной совместной работы региональных органов и центрального аппарата ФСБ России, спецслужб США, Эстонии и Голландии перед судом за совершенное посягательство на денежные средства корпорации «RBS» предстали три российских гражданина. Суд признал их виновными по всем пунктам предъявленных следствием обвинений. При назначении наказаний суд учел выполнение подсудимыми обязательств в рамках исполнения досудебных соглашений, заключенных между обвиняемыми и органами прокуратуры, в связи с чем они приговорены к условным срокам лишения свободы. Вместе с тем, потерпевшей стороне – корпорации «RBS» подсудимыми возвращено похищенное имущество, в том числе наличные деньги, объекты недвижимости и дорогостоящие автомобили, на общую сумму около 2 миллионов американских долларов.
А в Следственной службе петербургского Управления ФСБ России осталось приостановленное уголовное дело в отношении неизвестных лиц, поучаствовавших в крупнейшей раскрытой краже денежных средств с использованием компьютерной техники. В случае обнаружения оперативным подразделением тех или иных участников этой кибератаки, можно будет сказать: «Следствие продолжается…».
О.В. Ленков, майор юстиции, старший следователь по особо важным делам
