В конце января суд Нидерландов после 2,5-летнего разбирательства вынес решение экстрадировать в США Владимира Дринкмана, одного из самых разыскиваемых хакеров в США. Ему грозит 30 лет за кражу 300 миллионов долларов. Однако доказательствами являются сообщения на анонимном хакерском форуме и сэлфи его приятеля. Не остался ли на свободе «главный хакер современности»?
За 300 миллионов долларов — 30 лет тюрьмы
Хотя решение об экстрадиции было принято в начале 2015 года, Дринкмана арестовали еще летом 2012, сообщает The Washington Post (WP). Прошедшие 2,5 года следствия уже намекают на недостаток аргументов у обвиняющей стороны, не прибавляют уверенности и заявления правоохранителей: «Обвинительная стратегия построена на том, чтобы прибавить к нескольким установленным фактам все известные киберпреступления, которые были совершены из России» — это адвокат подсудимого; «Мы оцениваем вероятность его участия в преступлениях в 99,6 процента» — это уже сторона обвинения. Почему остались сомнения и какие доказательства есть у судебных органов?
В полдень 28 июня 2012 года Владимир Дринкман, названный США одним из самым разыскиваемых киберпреступников, и его жена отъехали в такси от амстердамского отеля. Практически сразу их автомобиль заблокировали полицейские в машине без спецмаркировки. Россиянина арестовали по обвинению в участии «в крупнейшей хакерской схеме» и было начато рассмотрение возможности его экстрадиции в Америку. После экстраординарного, по мнению WP, процесса, было принято решение о его высылке.
34-летний Дринкман обвиняется в участии в преступной группе, которая проникла в информационные системы Nasdaq, похитила более 160 миллионов номеров кредитных карт из платежной системы Heartland Payment Systems, а также совершила кибератаки на розничные сети 7-Eleven и Hannaford Brothers, организации Visa, Dow Jones и другие. Обвинители утверждают, что россиянин участвовал в преступлениях, касающихся кражи личных данных, нанесших ущерб в 300 миллионов долларов. Если Дринкмана признают виновным, то ему грозит до 30 лет тюрьмы.
Виновен на 99,6 процента
Операцию проводит Секретная служба США, одна из самых значительных организаций, занимающихся борьбой с киберпреступностью. Большой сложностью для нее является не только раскрытие реальной личности злоумышленников, но и их арест, поскольку практически невозможно добиться их экстрадиции с территории бывшего СССР. Это объясняется отсутствием договоренностей правоохранительных органов о выдаче подозреваемых, а Конституция РФ запрещает экстрадировать граждан страны, поясняет газета «Коммерсант».
Дринкман просил не экстрадировать его в США, поскольку не верил в честность судебного процесса на территории этой страны. Его голландский адвокат Барт Стаперт, считает, что обвинители США не представили конкретных доказательств причастности его клиента к взломам: «Создается впечатление, что обвинительная стратегия построена на том, чтобы прибавить к нескольким установленным фактам все известные киберпреступления, которые были совершены из России», — сообщил он WP.
Адвокат Виктор Смилянец, отец другого обвиняемого, 31-летнего Дмитрия Смилянца, отметил в интервью НТВ, что у обвиняющей стороны должен быть компьютер, а также доказательство того, что хакер находился именно в той точке мира, из которой происходила атака. Однако, эти доводы защиты не помешали нидерландцам задержать обоих подозреваемых, а затем и экстрадировать в США. «Мы оцениваем вероятность участия [Дринкмана] в киберпреступлениях в 99,6 процента», — сообщил агент Секретной службы Ари Баранофф. «Мы не стали бы строить дело на одной-единственной улике. Имеются несколько фактов, которые стали основой доказательной базы в течение многих лет. Мы потратили много времени, чтобы убедиться в своей правоте».
Сообразили на троих
Секретная служба потратила годы, чтобы поймать Дринкмана в амстердамском отеле. Причем искала она не его, а Смилянца — 31-летнего подельника главного хакера современности. Как объяснил Дринкман, они познакомились за игрой в Counter-Strike. В 2004 году американскому агентству удалось накрыть форум DumpsMarket, на котором продавались данные об украденных номерах кредитных карт. Сотрудники ведомства изучили файлы ресурса и получили доступ к сообщениям на нем, а также логинам и другим данным, позволяющим идентифицировать личности участников. Вскоре пользователь Scorpo был идентифицирован как Дринкман. Однако к 2004 году он уже перестал пользоваться форумом и след его был потерян.
Следователи обратились к помощи Альберта Гонсалеса, арестованного в 2003 году в Нью-Йорке за взлом банкоматов. Просматривая файлы его компьютера, включающие онлайны с хакерами, они отметили двух российских собеседников с никами Anexx и Grigg. Позднее оказалось, что с ними также связан пользователь с аккаунтом Smi.
В целом форум содержал минимум информации обо всех пользователях, но самым скрытным оказался Anexx. «Мы никогда не надеялись идентифицировать и поймать его», — сообщил WP на условиях анонимности один из следователей.
Smi оказался менее скрытным — им оказался живший в Москве Смилянец. Он вел успешную кибердеятельность в совершенно законной сфере: организовал геймерскую команду Moscow Five, которая участвовала в международных соревнованиях по Dota 2 и другим играм. На его Twitter и сейчас подписано около 14 тысяч человек, также он имел аккаунты в «ВКонтакте» и Facebook. Секретная служба тайно продолжила следить за Гонсалесом, когда он в 2007 году вернулся к криминальному бизнесу. Он с сообщниками, включая пользователей Grigg, Anexx и Smi, совершил проникновение в информационные системы компаний Heartland, Hannaford и другие, утверждают официальные органы.
Каждый из них играл свою роль: Grigg проникал в систему, оставлял дверь открытой для Anexx, который совершал дальнейшие действия в сети, а Смилянец занимался продажей краденого на форумах. В 2009 году Гонсалес признал себя виновным и был осужден. Два его сообщника, которым на следствии присвоили обозначения «Хакер 1» и «Хакер 2», были распознаны Секретной службой как Anexx и Grigg. Следователи надеялись выйти на них через Смилянца. Они присматривали за ним и ждали.
Запалились на сэлфи
В июне 2012 года они получили свой шанс. Смилянец разместил в «ВКонтакте» свое сэлфи на фоне знаменитого знака I Amsterdam в нидерландской столице. Он опубликовал еще несколько фото, которые включали отметки о местоположении.
Агенты Секретной службы нашли информацию обо всех отелях в этом районе, их оказалось несколько сотен. Впоследствии их круг был сужен до 50, а 26 июня они начали обзвон. В гостинице Manor им подтвердили, что в ней остановился Смилянец, и американские правоохранители подключили к делу нидерландских коллег из отдела по преступлениям в сфере высоких технологий.
И тут полицейским повезло. Портье сообщил им, что Смилянец с женой снимают двухкомнатный номер вместе с … Владимиром Дринкманом и его женой. «Это был поворотный момент», — вспоминают правоохранители: «Мы поняли, что можем настигнуть очень важного киберпреступника». Агенты знали Дринкмана только под ником Scorpo, но последний был неактивен много лет, поэтому они проверили свою базу данных. WP утверждает, что Секретная служба нашла в файлах форума DumpsMarket сообщение модераторам, в котором Scorpo просил поменять его ник на Anexxian. «В этот момент мы поняли, что поймали хакера Anexx», — вспоминает чиновник.
У Дринкмана был шанс убежать. Когда голландская полиция и агенты Секретной службы арестовывали Смилянца, у них не было оснований задерживать его жену, которая позвонила семейному шоферу в Москву, а тот предупредил супругу Дринкмана, как сообщало агентство Bloomberg. Россиянин сразу позвонил в приемную отеля и заказал такси, но успел только сесть в него.
При задержании Дринкман не сопротивлялся и был спокоен. На допросах, длившихся 2,5 года, он своей вины не признал. Секретная служба утверждает, что Дмитрий Смилянец дал показания, которых было достаточно для ареста его напарника. Косвенным подтверждением может быть быстрая экстрадиция Смилянца в США, которая возможна при заключении сделки со следствием. Однако адвокат и отец Дмитрия утверждает, что это не было связано с дачей каких-либо показаний, его сын не признает участия в киберпреступлениях.
В июле суд присяжных в Нью-Джерси предъявил обвинение Дринкману и другим предполагаемым членам преступной команды, среди которых Grigg, который сейчас идентифицирован как Александр Калинин, а также Роман Котов и Михаил Рытиков. Последний являлся украинским гражданином, а остальные перечисленные — россияне. По разным источникам им было инкриминировано от 13 до 14 взломов различных компаний.
Виртуальные доказательства
Главный вопрос, удастся ли прокуратуре доказать, что Anexx — это Дринкман. Обвинители утверждают, что Дринкман сознался в использовании осенью 2012 года ника Anexx, а также в участии в сообществе хакеров под именем Scorpo. Однако его адвокат Старпет сомневается, что его клиент прямо сделал эти заявления: «Уверен, что его заявления не были такими, что их можно использовать в суде как доказательство».
Одним из существенных пунктов обвинения являются регулярные проникновения в информационную систему биржи NASDAQ, проходившие в течение двух лет. Однако финансисты отрицают компрометацию системы защиты и утрату каких-либо документов. Наконец, власти США ожидают выдачи Дринкмана в течение нескольких недель. Ранее высланный в Америку Смилянец до начала разбирательства будет находиться в Нью-Джерси. Но на свободе остаются еще Калинин, Рытиков и Котов, которых суд счел виновными в кибератаках на NASDAQ. Считается, что Калинин находится в России на свободе. Информации о местонахождении Котова и Рытикова нет. Теоретически украинские власти должны сейчас лояльно относиться к запросам из США, но Рытиков скрылся из дома в 2013 году, родные не знают о его местоположении.
Даже допустив, что американская Фемида безупречна, Дринкман не выглядит самым «злым» хакером. Упомянутый выше Александр Калинин обвинен не только в пособничестве Дринкману, но также в краже миллионов долларов со счетов Citibank и PNC Bank. Южный суд Нью-Йорка вынес обвинительное постановление Калинину и Николаю Насенкову, согласно которому от их действий пострадали около 800 тысяч человек, а грозящий им срок может составить свыше 150 лет.