Со дня громких арестов членов киберпреступной группировки REvil, считавшейся одним из главных хакерских объединений мира, прошел почти месяц. За это время специалисты по информационной безопасности уже успели предположить, что задержанными на самом деле могли оказаться совсем не те, за кем охотились спецслужбы. А это значит, что лидеры объединения до сих пор могут оставаться на свободе. «Лента.ру» разобралась, могли ли в ФСБ принять за высококвалифицированных специалистов из даркнета их помощников, которые занимались легализацией доходов.
Российский даркнет звонко отреагировал на аресты хакеров из группировки REvil: многие пользователи даркнета оказались напуганы возможными совместными операциями американских и российских силовиков против киберпреступников. Западные эксперты даже поспешили сообщить, что киберпреступники пребывают в ужасе. Завсегдатаи теневых форумов перестали верить в надежность России как убежища от американских силовиков и даже всерьез задумались о переносе не то большей части операций, не то самих себя в более безопасные, по их мнению, регионы: Индию, Китай, Израиль и государства Ближнего Востока.
После ареста членов REvil дотошные аналитики отмотали один из форумов на несколько недель назад и наткнулись на сообщение одного из пользователей: «Все, кто меняет (обналичивает полученные преступным путем прибыли от киберпреступлений, — прим. «Ленты.ру») в Москве или Питере, — прекращайте. ФБР уже в Москве, через менял кроют работяг-рансомварщиков (вычисляют членов хакерских группировок, распространяющих вымогательское ПО, — прим. «Ленты.ру»)».
В итоге многие обитатели даркнета впали в паранойю и начали подозревать в связях со спецслужбами администраторов крупных теневых площадок. Однако наименее подверженные панике посетители даркнета обратили внимание на одну странность: у арестованных 14 января хакеров было при себе слишком много наличных.
Масла в огонь подлили журналисты авторитетного западного издания SecurityWeek, опубликовавшие со ссылкой на аналитиков ReversingLabs материал о том, что REvil, судя по активности в сети, не прекращала деятельность даже после громких арестов. А значит, руководители группировки остались на свободе.
«На самом деле количество обнаруженных файлов и программных модулей, связанных с программой-вымогателем REvil, даже незначительно увеличилось в течение последовавшей за арестами в России неделей», — сказано в исследовании ReversingLabs.
Аналитики, впрочем, не сказали прямо, что руководство группировки могло остаться на свободе, но отметили, что организация может восстановиться после арестов. «Это связано с тем, что такие группы, как REvil, существуют по принципу корпораций. Большая часть работы по проведению атак и получению платежей возлагается на аффилированных лиц. Аресты этих аффилированных лиц часто никак не влияют на существование самой линейки вредоносного ПО, а также не мешают дальнейшей их модификации», — считают в ReversingLabs.
Видные западные эксперты по информационной безопасности в итоге раскритиковали и SecurityWeek, и ReversingLabs. Они напомнили, что в действительности группировка REvil фактически прекратила свою деятельность еще несколько месяцев назад. В России исследование преимущественно проигнорировали, хотя, например, аналитики компании Т.Hunter, занимающиеся информационной безопасностью, предположили, что REvil еще даст о себе знать: «Похоже, дело в том, что ФБР вычислило не самих хакеров, а обнальщиков. Их ФСБ и задержало, а вот про оставшихся на свободе взломщиков рискуем еще услышать».
Версию про оставшихся на свободе хакеров озвучил и руководитель лаборатории компьютерной криминалистики компании Group-IB Олег Скулкин. Его смутили не столько деньги на кадрах оперативной съемки, сколько предъявленные арестованным обвинения — в соответствии с частью 2 статьи 187 УК РФ — «Неправомерный оборот средств платежей».
«Судя по предъявленным обвинениям, задержаны были не разработчики программы-вымогателя REvil и даже не партнеры, которые ее арендовали, а лица, участвовавшие в обналичивании денежных средств. Несмотря на некоторую обеспокоенность коллег REvil, представители других партнерских программ активно продолжают атаки», — заявил Скулкин.
У арестованных в январе членов группировки REvil изъяли 426 миллионов рублей, 500 тысяч евро, 600 тысяч долларов США. Не все наличными, но стопки пятитысячных купюр на оперативном видео произвели впечатление на теневых форумах. Мнение многих из числа обитателей даркнета ФСБ не понравилось бы: мол, киберпреступники не держат такое количество денег, а потому задержанные действительно могли быть лишь теми, кто обналичивал доходы от совершенных преступлений, а не руководством группировки.
Конкретные схемы отмывания денег лежат где-то между финансовой сферой и технологиями. При реализации одной из них, например, нанимали водителей из Uber, чтобы фальсифицировать поездки и проводить таким образом несуществующие мошеннические платежи.
Не исключено, что с этим хакерам помогает традиционная преступность. Как отмечает руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев, именно те сложности, которые киберпреступники испытывают с выводом и легализацией доходов, могут решить «авторитеты» из реального мира.
Еще в ноябре 2021 года журналисты Bloomberg заявили, что башня «Федерация Восток» в «Москве-Сити» стала настоящим центром обналичивания криптовалют. По сведениям издания, которые были получены от американского Минфина, в башне расквартированы около 50 компаний, которые могут иметь отношение к сомнительным махинациям. Против одной из них — Suex OTC — США даже ввели санкции. Правда, официальной реакции от Москвы на сведения Bloomberg не последовало.
Детали того, как движется следствие в отношении задержанных членов REvil, до сих пор не обнародованы, а вопрос о том, кого на самом деле задержали оперативники — простых обнальщиков или киберпреступную элиту, — остается открытым. Возможно, он отпадет сам собой, если к началу судебных слушаний в списке обвинений появятся другие, более «профильные» для киберпреступников статьи.