Взяли за шифр: начинается финальная стадия процесса по делу хакеров REvil.
В Санкт-Петербурге 5 июля должны начаться прения сторон на громком процессе по делу хакерской группировки REvil. Ее предполагаемых участников арестовали вскоре после того, как в апреле 2021 года президент США Джо Байден позвонил Владимиру *************************у и попросил пресечь их деятельность. Поводом были кибератаки на крупные американские компании — хакеры с помощью вируса-шифровальщика блокировали их работу и вымогали деньги за восстановление доступа к инфраструктуре. В материалах дела фигурирует и попытка за $1 млн подкупить сотрудника Tesla, чтобы заразить вирусом компьютеры компании. Но расследование преступлений REvil утратило масштаб после февраля 2022 года — с начала СВО минюст США игнорирует запросы российской стороны о правовой помощи по этому делу. О том, в чем сейчас обвиняют подозреваемых и почему адвокаты настаивают на их невиновности, — в материале «Известий».
Зачем Джо Байден звонил Владимиру *************************у?
9 апреля 2021 года президент США Джо Байден позвонил Владимиру *************************у. Повод был серьезный — неделей ранее хакеры атаковали американского разработчика программного обеспечения Kaseya, который работает с десятками тысяч организаций. Отголоски атаки были слышны по всему миру. Например, в Швеции пострадал оператор железных дорог, закрылась сеть аптек и 800 продуктовых магазинов Coop.
Ответственность за взлом взяла на себя хакерская группировка REvil. За восстановление доступа к данным она потребовала $70 млн в биткоинах (BTC), но потом снизила цену до $50 млн. Через несколько дней в Kaseya заявили, что получили от третьей стороны ключ-дешифровщик, но сообщать какие-либо подробности отказались.
Кроме того, REvil приписывали взлом и шифровку данных Quanta Computer (это основной поставщик комплектующих для Apple), крупнейшего в мире производителя мяса JBC (заплатила вымогателям $11 млн в BTC), компании Colonial Pipeline, владеющей сетью нефтепроводов (заплатила 75 BTC — порядка $3,5 млн на тот момент).
За всеми этими атаками в Америке увидели российский след. Джо Байден, позвонив Владимиру *************************у, заявил, что «Россия должна принять меры по борьбе с группами вымогателей, работающих в России», говорилось в сообщении Белого дома. Согласно официальной информации Кремля, Владимир ************************* на это ответил, что две страны должны взаимодействовать по вопросу борьбы с киберпреступностью «с использованием специализированных каналов обмена данными».
Первыми на диалог двух глав государств отреагировали в… REvil. По информации «Известий», буквально через несколько дней после беседы *************************а и Байдена из даркнета пропали все информационные ресурсы группировки: блог, сайты, были заблокированы аккаунты представителей REvil на хакерских форумах.
Но это не помогло. Сначала, в ноябре 2021 года, минюст США заявил о задержании одного участников REvil — гражданина Украины Ярослава Васинского, который был причастен к взлому Kaseya (в мае 2024 в США его приговорили к 13 годам и 7 месяцам тюрьмы).
А 13–14 января 2022 года ФСБ России провела серию операций в Санкт-Петербурге, Москве и Липецке, после чего заявила о ликвидации кибергруппировки REvil. Сообщалось, что задержаны 14 членов преступного сообщества, у них изъято свыше 426 млн рублей, $600 тыс., €500 тыс., компьютерная техника, криптокошельки, 20 автомобилей премиум-класса.
Кто и за что попал на скамью подсудимых?
По информации «Известий», весной 2021 года ФБР отправило в ФСБ России некий ір-адрес, с помощью которого сотрудники российских спецслужб и вышли на предполагаемых преступников, начали разработку группировки.
По итогам расследования на скамье подсудимых оказались восемь человек: Даниил Пузыревский (которого следствие считает лидером группировки), Руслан Хансвояров, Алексей Малоземов, Андрей Бессонов, Артем Заец, Михаил Головачук, Роман Муромский и Дмитрий Коротаев. Всем им вменяется неправомерный оборот средств платежей, совершенный организованной группой (ч. 2. ст. 187 УК РФ), а Пузыревскому и Хансвоярову — еще и создание и распространение вредоносных программ группой лиц по предварительному сговору, причинившие крупный ущерб или совершенные с корыстными целями (ч. 2 ст. 273 УК РФ).
По версии следствия, началось всё с того, что в 2015 году Даниил Пузыревский решил заниматься кардингом — покупал на специальных сайтах в даркнете информацию о банковских картах, выпущенных в США, и проводил по ним операции без ведома их владельцев. В том же году он якобы вовлек в эту схему своего одноклассника, Алексея Малоземова, а в 2017 году — другого одноклассника, Руслана Хансвоярова. Те, в свою очередь, расширили группировку за счет знакомых программистов.
В 2021 году, получив постановление Санкт-Петербургского городского суда, сотрудники ФСБ получили доступ к переписке фигурантов в их социальных сетях. Оказалось, что они особо не озадачивались конспирацией. Например, из материалов дела следует, что Пузыревский и Малоземов пересылали друг другу скриншоты данных чужих банковских карт и обсуждали успешный взлом локальной сети американской компании Development Services, а с Муромским обсуждали создание вредоносного программного обеспечение и его применение.
По версии следствия, именно Пузыревский совместно с группировкой хакеров-вымогателей DarkSide шифровал данные компанию Colonial Pipeline. Это доказывает обнаруженная в его компьютере таблица с транзакциями его Bitcoin-кошелька, где в том числе обнаружился перевод от 09 мая 2021 года на 63,7 BTC (на тот момент — 208 млн рублей). По версии следствия, указанная сумма — трансакция от Colonial Pipeline, она составляет 85% от выкупа, заплаченного компанией за восстановление заблокированной хакерами информации.
Также Пузыревский, Скоробогатов, Антонов и Крючков обсуждали в переписке в соцсетях подготовку к внедрению вредоносной программы в локальную сеть китайской компании Tencen и американской Tesla. Этот эпизод примечателен сам по себе.
Как хакеры пытались взломать Tesla за $1 млн?
В допросах свидетелей по делу, которые изучили «Известия», имеются показания Егора Крючкова. Он рассказал, что летом 2020 года Алексей Скоробогатов, близкий к руководителям REvil, в том числе к Пузыревскому, поинтересовался, нет ли у него друзей, работающие в крупных иностранных компаниях. А когда Крючков сказал, что у него есть знакомый инженер в Tesla, предложили ему за $500 тыс. взломать компанию.
После этого Крючкову предложили полететь в США и лично встретиться с его знакомым из Tesla. По замыслу Скоробогатова, инженера надо было убедить внедрить вредоносную программу в программное обеспечение, используемое его работодателем, или просто открыть присланное на корпоративную почту письмо с вирусом-трояном.
Скоробогатов, согласно показаниям Крючкова, профинансировал его поездку в США, где тот встретился со своим знакомым Дмитрием Волковым, работавшем в Tesla, и рассказал ему о задуманном. Волкову сначала поднял ценник своего участия в афере до $1 млн, а потом заявил о поступившем предложении в правоохранительные структуры США. Крючкова задержало ФБР. Суд арестовал его на 10 месяцев с последующей депортацией из страны. После освобождения из американской тюрьмы он вернулся в Россию и выступил свидетелем по делу REvil.
Позиция защиты
Впрочем, ни эпизода с Tesla, ни фактов взлома и шантажа Colonial Pipeline и других американских компаний в окончательном обвинительном заключении нет. Масштаб начавшегося в 2021 году расследования пал жертвой геополитики. С начала СВО минюст США игнорирует запрос Генпрокуратуры России о правовой помощи по данному уголовному делу.
В итоге как главный эпизод в обвинительном заключении фигурирует лишь пресловутый кардинг — воровство средств с банковских карт американцев. В ходе обысков у предполагаемых членов REvil изъяли компьютеры и флешки с данными 22 иностранных банковских карт. Следствие предполагает, что именно с них хакеры похищали деньги.
Впрочем, этот пункт обвинения отвергается как самими обвиняемыми, так и их адвокатами.
Позиция защиты состоит в том, что следствие, проведя две экспертизы, так и не установило ни банки-эмитенты карт, ни их владельцев, то есть людей, которые могли пострадать от кардинга.
— Следствием не установлена реальность существования банковских карт, принадлежность реквизитов к каким-либо банкам. Только банк-эмитент способен подтвердить выпуск карты, срок ее действия, возможные блокировки, а также сообщить пользователя этой карты. Необходимые запросы о правовой помощи в США, видимо, не направлялись — рассказал «Известиям» адвокат одного из подсудимых Владислав Дреерис.
На слушаниях по делу, которые начались в апреле этого года в Санкт-Петербургском гарнизонном военном суде, защитники попросили допросить владельцев банковских карт, которые фигурируют в деле, и представителей банков-эмитентов.
Офицер военной юстиции (сторона обвинения) тогда отметил, что по делу не заявлен ущерб, нет исковых заявлений от потерпевших, а поэтому желание защиты допросить их — это попытка затянуть процесс.
В итоге суд в допросе потенциальных пострадавших отказал.
Тот факт, что в деле нет пострадавших и ущерба, который им нанесен, не может стать препятствием для вынесения приговора как минимум по одной из двух статей обвинения, рассказал «Известиям» адвокат Адвокатской палаты Москвы, кандидат юридических наук Джамали Кулиев.
— В отношении кого данные преступления совершены — для российского уголовного закона несущественно, потому что деяния, в которых их обвиняют, на территории РФ запрещены. И если это так, то неважно, в отношении кого они соответствующие преступления совершали, — пояснил юрист. — Относительно наличия или отсутствия ущерба, к которому их действия привели… По статье о неправомерном обороте средств платежей (ч. 2 ст. 187 УК РФ) не нужно наличие конкретного ущерба, для того чтобы привлечь людей к уголовной ответственности.
В то же время ч. 2 ст. 273, о распространении вредоносных программ, — по ней обвиняют двух участников процесса: Даниила Пузыревского и Руслана Хансвоярова — предполагает, что какому-либо лицу нанесен вред, отметил адвокат.
— Здесь нужно как минимум найти хотя бы одного потерпевшего, который скажет, что их действия причинили тот или иной ущерб. Но если потерпевших нет, возникает вопрос, каким образом будет доказываться факт причинения вреда, — отметил адвокат.
Прения сторон будут проходить в Санкт-Петербургском гарнизонном военном суде, так как один из обвиняемых на момент инкриминируемого преступления был военнослужащим. Приговор по делу может быть вынесен в течение ближайших недель.
iz.ru/1722538/miaile-machiulite/vziali-za-shifr-nachinaetsia-finalnaia-stadiia-protcessa-po-delu-khakerov-revil
