Итак, в документах ФБР утверждается, что Майями продал инъекцию в браузер для вируса Gozi в январе 2011 года. Эта инъекция распространяется с помощью вируса и изменяет вид домашней страницы банка, вкладывая туда различные просьбы предоставить сведения, в том числе и с банковской карты.
Как все это собираются доказывать? Версию портала esidross.lv об этом — читайте ниже.
Хакерские форумы, «мулы» и кабриолет Кузьмина
Перед обсуждением факта продажи, строит напомнить, что хакерское сообщество — одно из самых организованных в мире. У него есть свои форумы, группировки, которые активно общаются, обмениваются информацией, обсуждают решения, куют планы на будущее, организовывают торговлю ПО, предназначенным для преступных целей. Конечно, они принимают меры безопасности, однако полностью оградиться от внешнего мира не получается, иначе не будет торговли. Понятное дело, что за этими занятиями весьма пристально наблюдает ФБР.
Идеологическим лидером группы, создавшей вирус Gozi, в которую входил и Майями, был российский хакер Никита Кузьмин. Сначала он продавал непосредственно вирус, однако потом, когда он переселился в США, стал продавать в основном данные, полученные с помощью вируса. То есть, ту информацию, которую удалось получить с помощью инъекций Майями.
О покупателях данных нет. Но именно они обирали счета пострадавших и перечисляли деньги на счета преступников. Снятие денег — один из самых важных этапов во всех аферах, потому что так средства из виртуальных превращаются в реальные. Это и самый критический момент, так как тот, кто снимает деньги, может быть пойман и уже не может скрыться за каким-то вымышленным именем.
Для этих целей обычно подыскивают любителей легких денег, который готовы рискнуть и за сравнительно хороший проценты (как правило около 10%) снять наличность, а остальное отдать, кому следует. Этих людей называют «мулами».
Группа вируса Gozi развернула свою деятельность в 2010 году. Все шло успешно, Кузьмин 19 ноября 2010 года сообщил своим сообщникам, что поедет в Тайланд, а затем исчезнет ненадолго. На самом деле он собирался из Тайланда поехать в США.
К тому времени в ФБР уже хорошо знали о Кузьмине, опустошении счетов, вирусе. Были получены многочисленные судебные санкции на просмотр его переписки и прослушивание разговоров. Разумеется, следить могли только за его разговорами с кем-то на американской территории.
Так и были выяснены все никнеймы Кузьмина и род его бизнеса. Информацию собирали из разных соцсетей, где были фото семьи хакера. Он оказался приемным сыном известного в России певца Владимира Кузьмина. ФБР нашли фото его машины (кабриолет BMW 6-й модели), его девушек и т.д. Следователи даже выяснили: Никита Кузьмин хотел добиться, чтобы фото одной из его девушек разместили на обложке российского Playboy — в качестве подарка на её день рождения.
И чтобы уже точно удостовериться: это тот самый Никита Владимирович Кузбмин (ведь в России таких людей могло быть несколько), фото из интернета сотрудники ФБР сравнили с фото Никиты Кузьмина из его запроса на визу в США.
Когда Кузьмин въехал в США, его задержали.
Как можно понять из последующих бесед на хакерских форумах, он стал активно давать показания и помогать следователям.
Чаловский и его сделка
Итак, Кузьмин был задержан 27 ноября. А через полтора месяца Майями продал инъекцию для браузера. Кому, если Кузьмин уже был под стражей? Понятно, что «счастливым покупателем» стал агент ФБР и сама сделка проходила под строжайшим надзором следствия.
Возможно, сам Кузьмин не знал, кто скрывается под ником Майями. ФБР этого и не утверждает.
Что важно: вирус все время нужно было обновлять и модернизировать, для этого Майями постоянно связывался со своими заказчиками, которые уже были «под колпаком» у ФБР. Таким образом следователи получили IP-адрес Майями. Дальше найти компьютер в Иманте уже не составляло труда.
Впрочем, специалисты знают, как легко можно манипулировать IP-адресами и в итоге подставить чужой компьютер. Владелец компьютера всегда может сказать, что он ничего не знает, машину кто-то зомбировал извне, а сам он в вирусах ничего не понимает. Примерно это сейчас и делает Чаловский.
Поэтому для ФБР было важно не только получить программу, но и что-то заплатить Майями. Вымышленному персонажу заплатить нельзя, нужно знать реальный счет человека. Поэтому естественно, что покупатель попросил данные счета, куда перечислить деньги для Майями. И тот его дал. Дальше оставалось только связать владельца компьютера и владельца счета. Они совпали, ловушка захлопнулась.
Но это ещё не все. Ведь кто-то мог украсть паспорт Чаловского, а затем воспользоваться его данными для создания счета. Возможно, Чаловский воспользуется такой версией. Но в этом нет особого смысла, ведь достаточно проверить записи камер наблюдений в банке при открытии счета или с любого банкомата. В любом случае получается, что, даже если Чаловский ничего не знал о вирусе, он работал «мулом», а это тоже уголовно-наказуемое преступление в США.
Чтобы никаких отговорок не было и понадобилось организовывать захват с помощью спецслужб, перепугавших всю Иманту. Тогда Чаловского взяли с работающим компьютером, с открытыми файлами, со всем письмами, сохранившимися в почтовом ящике. И тогда же, разумеется, можно было бы определить, работал ли кто-то с этого компьютера над созданием инъекции или машина была инфицирована извне. Если бы кто-то своевременно предупредил Чаловского, он бы смог почистить компьютер, но это не так легко и быстро делается, чтобы уничтожить все следы.
Что грозит Чаловскому в США
Кстати, 67 лет заключения, которые часто упоминают в латвийских СМИ, якобы грозящие Чаловскому, автор esidross.lv считает преувеличением. Да, парню предъявили обвинение по 5 пунктам, сосчитав все максимальные санкции по ним и получается 67 лет. Однако максимальный срок, вынесенный в Америке за киберпреступления, до сих пор был 20 лет. Получил его хакер Альберт Гонзалес, который был осужден за незаконное получение данных 150 миллионов кредитных карт и торговлю ими. Его сообщники получили гораздо меньше сроки — от 2 до 7 лет.
Чаловский: я не умею создавать сложные вирусы
Сам Денис Чаловский отрицает, что он участвовал в разработке вирусов и действовал против Америки. На минувшей неделе в интервью программе «Panorāma» телеканала LTV он заявил: его компьютерных знаний не хватает, чтобы осуществить преступление такого масштаба. Юноша говорит, что он, конечно, может починить компьютер, создать домашнюю страничку, но он не программист. «Осознанно я не работал над созданием вирусов, особенно таких сложных», — заметил Чаловский.
Он также не может вспомнить, чтобы работал под таким интернет-паролем, который ему приписывают американцы. Чаловский также никогда не был знаком с российскими и румынскими гражданами, обвиняемых по этому делу.
Он уверен, что никому не помогал в «схемах по добыче денег».
«Не понимаю, как я очутился в тюрьме», — недоумевает «имантский хакер».
По его словам, он готов предстать перед судом в Латвии, но не верит в американское правосудие.
Для справки
Портал о компьютерной безопасности esidross.lv создан организацией Центр по предотвращению инцидентов, связанных с безопасностью информационных технологий CERT.LV. Эта организация работает под надзором Министерства обороны.
На фото: прокурор по Южному округу Нью-Йорка Прит Бхарара проводит пресс-конференцию, посвященную вирус Gozi. Нью-Йорк, 23 января 2013 года.
Kriminal.lv в Телеграме
