Теневая сторона электронного государства

К тому моменту, как пользователь обнаруживает, что его компьютер по-тихому подхватил какую-то заразу, на счета хакеров уже месяцами поступают гонорары за отлично проделанную работу. Зато громким бывает задержание киберпреступников. В нашем случае – шутка ли – шупальцы хакеров дотянулись пускай не до Пентагона, но до космического центра НАСА! И выяснилось, что целых два года именно за эстонцами охотилось всемогущее ФБР. На прошлой неделе в результате международной операции Ghost Click («Клик привидения») правоохранительным органам США и Эстонии удалось задержать по подозрению в масштабном интернет-мошенничестве и отмывании денег шестерых мужчин и женщину. 9 ноября все подозреваемые лица на основании решения суда были взяты под стражу.

Обвиняют и в Эстонии, и в США

Участники «привиденческой» операции утверждают, что она была колоссальной. По словам капитана полиции Кальмера Виска, в этой, одной из самых масштабных за последние годы, операции было задействовано около 70 сотрудников полиции в Харьюском уезде и Тарту. И даже подразделение K-Komando было брошено на захват семерых кукловодов виртуального мира. Но потом дело стало расплываться, как и положено в истории с привидениями. Арестовали-то семерых, а обвинение смогли предъявить только пятерым. Но из-под стражи к моменту отправки газеты в печать, тем не менее, никого не выпустили.

Как пояснила глава отдела внешних связей Государственной прокуратуры Кадри Таммай, в рамках уголовного дела в Эстонии обвинение в отмывании денег в особо крупных размерах и создании преступной организации предъявлено Владимиру (31), а в отмывании денег и участии в преступной группировке – четверым его сообщникам, трем мужчинам и женщине. Также считаются причастными к делу пять юридических лиц.

Тут же ФБР забило копытом и слило новостному агентству AFP эстонцев поименно. (Да каких эстонцев, не простых, а золотых! См. справку). У них к хакерам свои счеты. Шестерым из задержанных в Эстонии также предъявлены обвинения прокуратурой Южного округа Нью-Йорка: в интернет-мошенничестве, распространении вредоносных программ, нарушении работы компьютеров и сговоре с преступной группой. СШA подали ходатайство об их выдаче за океан. Поскольку двоим из задержанных в ходе супероперации, Антону и Валерию, в Эстонии не предъявили обвинения, на их экстрадиции американская сторона настаивает в первую очередь, на молодых людей уже оформляются необходимые документы.

Между прочим, мир Интернета хоть и призрачный, но заработки у кибермошенников оказались вполне реальные. По словам госпрокурора Пирет Раукштис, на счета обвиняемых незаконно поступило около 21,5 миллиона долларов США, и более 560 тысяч евро. Да еще наложен арест на 150 разнообразных объектов недвижимости ценой от 30 тысяч до 1 миллиона евро. «Для расследования этого преступления возбуждены уголовные дела как в Эстонии, так и в США, и правоохранительными органами двух стран проделана огромная работа», – сказала Раукштис. В результате преступной деятельности, осуществлявшейся с 2007 года по октябрь 2011-го, по предварительным подсчетам, было заражено около четырех миллионов компьютеров в сотне стран. По предварительной оценке, обвиняемым грозит до 30 лет тюремного заключения.

Ах, если бы не НАСА…

На вопрос, были бы хакеры задержаны без вмешательства американских ведомств, наши компетентные органы отвечают уклончиво. Центр киберобороны НАТО от журналистов попросту отмахнулся, сообщив устами пиар-ассистента Кристийны Пеннар, что они занимаются исключительно научной деятельностью.

Пресс-секретарь Департамента полиции и погранохраны Карел Кууск признал в интервью «ДД», что киберпреступления не относятся к разряду простейших. В случае с ними международное сотрудничество осуществляется наиболее интенсивно, поскольку в Интернете, как известно, государственных границ нет.
«Полиция регулярно информирует население об опасностях, распространяющихся в Сети. Но люди и сами должны осознавать: чтобы не стать жертвой преступления, необходимо и со своей стороны предпринимать какие-то меры безопасности в рамках возможного. Если говорить о тенденциях этого вида преступлений, то они неутешительны, поскольку инфотехнологии все больше проникают в разные сферы нашей повседневной жизни, что делает рост числа кибератак неизбежным фактом».

По данным Министерства юстиции за десять месяцев 2010 года было зарегистрировано 355 компьютерных мошенничеств, а за такой же срок года текущего – уже 452. При том, что число мошенничеств в целом сократилось на 32%.

Комментарий

Как работает схема?

Эксперт в области технологий Захар Кириллов:

Этот тип преступлений не нов: ему столько же лет, сколько и интернет-рекламе. Если подмена рекламы происходит на зараженном компьютере, этот факт невозможно установить без программы-антивируса, либо до тех пор, пока компьютер не попадет в руки к специалисту. По всей вероятности, эту цепочку так и вычислили: кто-то поставил антивирусник, который обнаружил проблему и сообщил о ней разработчикам антивируса, которые дальше стали эту тему разворачивать. Большая часть пользователей в Эстонии, в том числе и бизнес-пользователей, довольно легкомысленно относится к защите своего компьютера. Даже элементарную защиту при помощи паролей не всегда применяют. А между тем самый простой антивирус может избавить вас от массы проблем.

Когда мы слышим об интернет-мошенничествах, то обычно говорим о том, что сервер или IP-адрес хакеров зарегистрированы где-то на траливальских островах, а тут – нате вам: взлом прямо из Эстонии. Почему они действовали так легкомысленно? Сложно сказать. Я думаю, с одной стороны, хакеры были достаточно нахальны и хотели жить комфортно. Полагаю, они прекрасно понимали, что киберполиция в Эстонии еще слабая, и не могли себе представить, что для их поимки будет организована масштабная кампания, в которой объединятся специалисты разных стран. При этом, безусловно, ребята были очень грамотные и хорошо прятались.

Один из краеугольных камней Интернета – система DNS (Domain Name System – позволяет определять IP-aдреса.). Она отвечает за поиск компьютера, который откликается на нужное тебе имя. По меркам Интернета система работает очень медленно: до трех секунд у нее занимает выяснение адреса.

Как осуществляется мошенничество пошагово? Допустим, хочешь ты попасть на компьютер «Сведбанка», вводишь swedbank.ee. Как известно, в Интернете у каждого компьютера есть IP-адрес – это его уникальный идентификатор в конкретный момент времени. Но у людей нет «доменных имен», то есть я не могу попасть на ваш компьютер, введя, например, valeria.dzd.ee.

Чтобы это стало возможным, вы должны пользоваться DNS, то есть своим запросом «сказать», что если кто угодно в мире вводит valeria.dzd.ee, то он попадает в твой компьютер, на твой IP-адрес. Это позволяет хоть каждый день менять IP-адрес, сообщая в DNS, куда перенаправлять пользователей. Поскольку DNS штука очень медленная, каждый компьютер сохраняет в своей памяти успешную связку «доменное имя – IP-адрес». То есть, как только ты один раз успешно зашел на сайт swedbank.ee, твой компьютер сразу запомнил IP-адрес и в другой раз сразу пойдет на него сам. Вот тут и вступают в игру хакеры.

Твоя машина заражается вирусом, который подменяет эту сохраненную связку, и при вводе адреса swedbank.ee перенаправляет тебя туда, куда нужно злоумышленникам. Разумеется, использовать такого рода сайт недальновидно, такая схема очень быстро раскроется, т.к. ты сразу заметишь что-то неладное, когда не сможешь войти в свой банк. Злоумышленники могут подделать дизайн сайта, им не под силу на сто процентов клонировать его функциональность. Но наши ребята потому и хитрые, что они не стали замахиваться на такие важные и активные сайты, они стали подменять сайты, с которых идет показ рекламы. Пользователю до лампочки, откуда показывается реклама, скажем, на «Дельфи». Показывается – и ладно: если она тебя заинтересует, то кликнешь, а если нет – то нет. Таким образом, наши ребята создали сеть из четырех миллионов компьютеров и крутили им «свою рекламу»
На их счастье, в мире полно людей, которые используют компьютеры без антивирусников с правами администратора и ходят по левым сайтам. Заражаются обычно на сайтах знакомств, порносайтах, скачивая музыку и видео.

Знает ли тот, кто заказывает левую рекламу, что она хакерская? Может быть, знает, а может, и нет. Для некоторого рода товаров и услуг не столь важна легальность аудитории: это могут быть, например, СМС-кредиты, онлайн-покер, интернет-казино, распространение виагры. Самое главное тут – чтобы у злоумышленников была своя база пользователей, которым можно закинуть в компьютер такой вот «спам» в любой момент. Если говорить об ущербе, его наверняка подсчитают, но, я думаю, сумму имеющихся у них активов можно смело умножить хотя бы на два, а может, и на все десять.

Справка «ДД»
Что нашли в Эстонии

Наша прокуратура не разглашает личных данных, но американская сторона не скрывает имен тех, кого требует передать в руки заокеанской Фемиды. Как сообщает агентство AFP, обвинение предъявлено гражданам Эстонии Владимиру Чащину (31), Тимуру Герасименко (31), Дмитрию Егорову (33), Валерию Алексееву (31), Константину Полтеву (28) и Антону Иванову (26), а также находящемуся в международном розыске гражданину РФ Андрею Тааме (31). По словам госчиновника США, шестеро обвиняемых граждан Эстонии взяты под стражу.

Владимир Чащин в 2007 году имел судимость за подделку документов и отмывание денег и был приговорен к реальному тюремному заключению сроком на шесть месяцев, которые он отбыл, пока длилось предварительное следствие. Суд также приговорил его к двум годам и шести месяцам условно и трем годам испытательного срока.

8 ноября вечером в Тарту в здании по адресу Лай, 6 состоялся финальный рывок в супероперации Chost Click. Здание сейчас принадлежит компании OÜ Tamme Arendus, но еще три года назад оно принадлежало компании Владимира Чащина OÜ Rove Digital. Кстати, все указанные в бизнес-регистре члены правления Tamme Arendus тоже носят фамилию Чащин. Задержание подозреваемых было осуществлено в результате сотрудничества криминального отдела Департамента полиции и погранохраны Эстонии, госпрокуратуры, Института судмедэкспертизы Эстонии, ФБР, NASA и прокуратуры США.

Cоздатель антивирусных программ Trend Micro еще два года назад в своем рапорте указывала OÜ Rove Digital как источник вирусов. Рапорт предупреждал, что фирма управляет порабощенными компьютерами и использует полученный преступным путем доход для приобретения зарегистрированных в Европе и США фирм. Однако тогда в Эстонии отвечали, что официально установить факт мошенничества очень сложно. Ежегодная чистая прибыль Rove Digital составляла десятки миллионов крон, оборот превышал сто млн крон, что ставило компанию в число крупнейших в Эстонии IT-фирм. Согласно официальному отчету, экспорт фирмы составлял почти 100% от всего оборота.
В 2006 году компания купила здание по адресу Лай, 6 в Тарту, а в 2008 году, когда произошло деление компании на две, здание отошло компании Tamme Arendus. Когда общественность заинтересовалась деятельностью фирмы Rove Digital, Владимир Чащин закрыл фирму и создал вместо нее новую – IT Consulting OÜ, она и расположена до настоящего времени по адресу Лай, 6 в Тарту.

Что нашли за океаном?

Программное обеспечение DNSChanger позволяло эстонским хакерам контролировать зараженные компьютеры и перенаправлять пользователя на предусмотренные злоумышленниками интернет-страницы. В результате на компьютер пользователя помещался линк, содержащий результаты совершенных с компьютера поисков. DNSChanger ставил зараженные компьютеры под сетевой контроль фальшивого сервера.
Кроме того, по данным ФБР, в ряде случаев вмешательство мошенников препятствовало работе компьютеров госучреждений и делало их беззащитными перед лицом компьютерных вирусов и вредоносных программ. Подозреваемые получали деньги, когда пользователи рекламы или посетители интернет-страницы просматривали указанный преступниками сайт или просто кликали на рекламный баннер. В результате мошенническое программное обеспечение заразило около 4 миллионов компьютеров в разных странах. В числе прочих были заражены компьютеры ряда госучреждений США и даже космического агентства NASA.

Суд США признал, что находившиеся под контролем преступников фальшивые серверы подменяли собой легальные DNS-серверы: они направляли по правильным адресам, однако при этом не удаляли с зараженных компьютеров вредоносное программное обеспечение.