Сюжеты · Общество

«99% российских хакеров контролирует ФСБ»

Бежавший из России IT-шник из Group-IB — о том, как ФСБ контролирует хакеров, кто имеет свои интересы в деле Ильи Сачкова и почему серьезные специалисты (и он сам) уезжают из страны

Фарида Курбангалеева , специально для «Новой газеты. Европа»
Фото: Getty Images

В Польше попросил политического убежища 25-летний российский IT-специалист Виктор Калинин. Несколько лет он проработал в компании Group-IB — одном из самых известных российских поставщиков средств защиты информации, где занимался анализом открытых данных. Гендиректор, основатель и совладелец компании Илья Сачков в сентябре 2021 года был задержан, а потом арестован по делу о госизмене и сейчас находится в СИЗО. По версии следствия, Сачков передавал секретную информацию спецслужбам иностранных государств. Сам предприниматель свою вину категорически отрицает. Виктор Калинин предполагает, что в деле Сачкова могут иметь интерес представители российских спецслужб, которые контролируют деятельность российских киберпреступников. Сачков в свою очередь открыто выступал против такого сращивания.

Приехать в Польшу Калинину помогала организация New dissidents foundation. В интервью Фариде Курбангалеевой он рассказал о личном участии в сборе информации на российских киберпреступников в рамках работы в Group-IB, а также поделился соображениями о том, кому мог перейти дорогу Сачков и почему хакеры в России чувствуют себя свободно и безнаказанно.

Виктор Калинин

бывший аналитик данных в компании Group-IB


— Когда вы пришли работать в Group-IB?

— Я пришел туда в 2018 году, так как у меня появилась возможность пройти там стажировку. Я учился в МГИМО на факультете международных экономических отношений, чья учебная программа не была связана с информационной безопасностью, но этой темой я интересовался сам для себя. На тот момент я работал в Агентстве стратегических инициатив. У меня там были знакомые, которые предложили мне составить резюме и отправить его в Group-IB. Сначала я предполагал ограничиться стажировкой, но потом понял, что смогу получать там практические навыки и заниматься тем, чем мне интересно. Я работал специалистом по конкурентному анализу (competitive intelligence), в мои задачи среди прочего входила оценка возможностей и намерений других поставщиков. Со временем я был переведен в аппарат генерального директора компании. С Ильей Константиновичем я проработал с конца 2019 до его ареста в сентябре 2021 года.

Сам Сачков говорил о своем преследовании: «Я уверен, что дело против меня — это интерес ко мне, никак не связанный с интересами государства. Это люди, которым моя профессиональная деятельность — борьба с киберпреступностью — сильно помешала». Как думаете, что он имел в виду?

Обратимся к публичным высказываниям Ильи Константиновича. В 2020 году он высказался на встрече с [премьер-министром Михаилом] Мишустиным про хакера Максима Якубца (глава одной из самых опасных хакерских группировок последних лет Evil Corp. — прим.ред.), который находится на свободе и появлялся в новостях рядом с его Lamborghini. Об этом человеке широко известно — есть публикации в СМИ о том, как он связан родственными связями с некоторыми людьми из ФСБ. При этом его разыскивают американские правоохранительные органы, и в США за него обещан выкуп.

В моем понимании Илья Константинович апеллировал к тому, что пока на киберпреступность закрывают глаза, довольно сложно выстраивать отношения с зарубежными партнерами и клиентами. Они испытывают подозрения к российскому поставщику: а может быть он тоже как-то связан с киберпреступниками или российскими службами? 

Соответственно, людям, которые обеспечивают киберпреступникам комфортные условия в России, такие заявления не удобны.

Основатель и совладелец IT-компании Group-IB Илья Сачков. С сентября 2021 года — фигурант уголовного дела по обвинению в госизмене. Фото: EPA-EFE / YURI KOCHETKOV

— Почему Сачков в своей речи упомянул именно Якубца?

Как я понимаю, это самый яркий пример того, насколько безнаказанно и свободно себя чувствуют некоторые представители преступного мира, которые находятся под покровительством определенных служб или органов. Якубец — известный, самый эпатажный тип. В России он спокойно проживает, передвигается, занимается своими делами. И экстрадиция таких, как Якубец, невозможна в связи с тем, что их поддерживают отдельные люди в силовых структурах. В тот момент, когда такие люди находятся за пределами России, их могут задерживать по запросу и передавать, например, американской стороне.

— Какая-то реакция на выступление Сачкова последовала?

Полагаю, что люди, к которым это обращение было адресовано, вполне могли слышать о том, что такой Максим Якубец существует. Но о какой либо реакции с их стороны сказать сложно — Максим Якубец находится на свободе.

А вы сами участвовали в сборе данных для кейса Якубца?

— Да, я выяснял обстоятельства его свадьбы (согласно данным СМИ, в 2017 году Якубец женился на дочери Эдуарда Бендерского — ветерана группы спецназа ФСБ «Вымпел». — прим. ред.). Я предполагаю, что информация могла использоваться совместно с материалами других российских правоохранительных органов. Но я, к слову, не смог найти какие-то дополнительные снимки, потому что мероприятие было закрытое и информации о нем было очень немного. Насколько я помню, свадьба проходила в Москве — она была шикарная, и людей было довольно много. Но фотографии были сделаны со спины или с таких ракурсов, чтобы нельзя было сказать, что на них Максим Якубец и что за люди вокруг. Эти снимки можно было буквально пересчитать по пальцам. Думаю, это была мера предосторожности — чтобы потом журналисты не смогли разобраться, что за люди собрались и в каких отношениях они состоят.

Плакат о розыске Максима Якубца, также известного как AQUA. Фото: Samuel Corum / Getty Images

Вы считаете, что тесть Якубца мог повлиять на решение об аресте Сачкова?

Возможно, группе людей вокруг Максима Якубца действительно стало чуточку легче после того, как Илья Константинович оказался в СИЗО и их не донимает.

Илья Константинович делал разные заявления в СМИ касательно некоторых публичных лиц, которые отвечают за развитие экспортной составляющей — в том числе, по информационным технологиям. И очень активно высказывался против киберпреступности, которая связана с государством и действует в интересах государства. Эти заявления появляются в новостях, про этих людей журналисты могут сделать расследования, из-за чего им может становиться сложнее передвигаться за пределами России. То есть, конечно, это создавало им определенные проблемы.

Я полагаю, что искали повод для того, чтобы поместить Илью Константиновича в СИЗО и дальше судить. Как повод могла быть использована и история с Навальным.

— Что за история?

В какой-то момент ко мне обратился Илья Константинович, чтобы я собрал по открытым данным профиль на одного не особо публичного человека — вице-президента банка ВТБ Юрия Дедова, он там отвечает за безопасность. Я обнаружил схему того, как он свои частные охранные предприятия пристраивает к банкам, где он работает, и они, соответственно, обслуживают интересы банка. Получается, что его работодатель дает контракт его собственной фирме.

До ВТБ Юрий Дедов работал еще в других банках, и была такая же схема — прямо один в один. Его фирмы могли называться по-разному и владельцами были то его родственники, то еще какие-то люди, с которыми он связан, но схема всегда была ровно одна и та же. Я направил информацию на общий почтовый ящик ФБК.

Как Сачков объяснил необходимость анализа информации о Дедове?

— Насколько я понял, между ним и Дедовым произошел конфликт. Суть была в том, что Юрий Дедов, выступал против закупок лицензий Group-IB банком ВТБ по причине того, что якобы «Group-IB работает с ментами».

Я не информирован, но могу предположить, что такие «неформальные» формулировки связаны с тем что Group-IB поддерживает правоохранительные органы в расследовании киберпреступлений, а некоторые киберпреступники работают под крылом каких-то других ведомств и служб.

И тут получается такая, неоднозначная ситуация.

Фото: Andrey Rudakov / Bloomberg / Getty Images

Как отреагировали на информацию о Юрии Дедове в ФБК?

— Никакого взаимодействия впоследствии не было, и ни в какое расследование это не переросло.

Может, это Дедов в результате отомстил Сачкову?

— Я склоняюсь к версии о том, что «третья сторона», которая была в курсе переписок в Group-IB, использовала эту информацию в своих целях, снабдив ее удобной для этой стороны интерпретацией. По тому, что я видел и вижу, эта сторона вполне могла находиться или находится как внутри компании, так и вне ее.

Сачков ведь не мог не понимать, что бросает вызов представителям очень опасных и могущественных структур.

— Мне не очень понятна формулировка «бросил вызов» — это больше подходит для романов. Илья Константинович — человек принципиальный, настойчивый. У него свое представление о том, что с киберпреступностью следует бороться вне зависимости от того, «под кем» она — обслуживает ли она интересы госструктур или действует самостоятельно. У Group-IB даже есть слоган — «Zero tolerance to cybercrime» — и я полагаю, что, в том числе, благодаря такому отношению компании удалось сформировать благоприятную репутацию за рубежом. 

В частности, в Сингапуре, где Group-IB работает с местными госорганизациями, а это означает большое доверие, несмотря на то, что компания пришла из России.

Это же вопрос правил ведения бизнеса за рубежом. Когда в стране киберпреступники в открытую разгуливают безнаказанными, это вызывает определенные вопросы к поставщикам, которые пришли из этой страны и предлагают что-то зарубежным клиентам. Здесь невозможно не обозначить свое отношение к тому, что происходит.

— А почему Сачков не мог окончательно переехать в Сингапур и работать там, находясь в безопасности?

— Что такое «окончательно переехать»? Допустим, он находится в Сингапуре, а очень большое число сотрудников компании — в России. Тогда всегда найдется возможность на него надавить через других людей. И это тоже история о гражданской позиции. Разумеется, он много времени проводил в командировках, но значительное время все равно находился в России, несмотря ни на что — показывая этим, что он не боится опасности или угроз.

Как обсуждали арест Сачкова внутри компании?

— Главная рекомендация была — обращаться к официальной позиции компании: «Все в пресс-релизе, читайте новости Group-IB”, а вторая — это то, что Group-IB верит в невиновность Ильи Сачкова. Внутри компании все выглядело так, как будто ничего не произошло, business as usual — вот в таком ключе. Но при этом, некоторые сотрудники все-таки ушли — не очень большое число, но такие были. Я думаю, они сделали это из страха. И у клиентов были вопросы по поводу того, что происходит. Были в этом отношении сложности.

Но поддержка Ильи Константиновича в компании значительна — сотрудники писали ему письма в СИЗО. Я тоже — и в электронном виде, и на бумаге. Я знаю, что люди ему фотографии присылали — так что в смысле поддержки все нормально.

Офис компании Group-IB в Москве, 2017 год. Фото: EPA-EFE / YURI KOCHETKOV

— Сам Сачков из СИЗО обращался к Путину, называя его «своим президентом» и утверждал, что намерен вести бизнес только в России, как думаете — почему?

— В первую очередь, за толкованием слов Ильи Константиновича следует обратиться к нему самому. Мне не известно, в каком состоянии Илья Константинович находится в СИЗО-2 — не только физическом, но и психологическом. Хотя я помню, что Илья Константинович очень устойчивый человек. Мне было бы странно слышать от совладельца компании, который находится в СИЗО, заявления противоположного толка. Если он заявит, что не нужно работать в России, как это скажется на бизнесе? 

Если учесть, что контракты заключаются с фирмами, которые работают в России, как они будут воспринимать риски от таких заявлений и возможные последствия? Поэтому тут для меня важен контекст.

— Сачков мог передавать информацию о российских хакерах, которых «крышует» ФСБ, западным спецслужбам?

— Я не думаю, чтобы он это делал. Я думаю, что он бы взаимодействовал с кем-то из российских правоохранительных органов.

— Что вы думаете о публикациях, в которых говорилось, что Илья Сачков помогал расследовать вмешательство российских хакеров в проведение президентских выборов в США в 2016 году?

— Вы имеете в виду публикацию в Bloomberg? Я не могу ни подтвердить ее, ни опровергнуть, но очень многие публикации об Илье Константиновиче, которые появились после ареста, содержат, скажем так, сомнительную информацию. Контент был заявлен очень громкий, а на деле это могла быть компиляция недостоверной информации, фрагментов переписок, домыслов и слухов.

Для авторов и интересантов же не так важно, соответствует эта информация действительности или нет. Ее, допустим, разместил какой-то колумнист, а как на самом деле было и как он ее получил — читатели будут разбираться в десятую очередь. Есть она в материалах следствия или нет — я не знаю, так как на допросы меня не вызывали в течение всего времени, что я находился в России после ареста Ильи Константиновича, и материалов следствия я не видел. Может быть, ее кто-то выдумал. Кроме того, такие публикации могут, полагаю, использоваться для провокаций.

Офис компании Group-IB в Москве, 2017 год. Фото: EPA-EFE / YURI KOCHETKOV

— Внутри Group-IB могли быть внедренные сотрудники ФСБ?

— Не могу сказать ни «да» ни «нет», потому что не знаю. Но когда я проходил собеседование, меня, в том числе, проверяли на полиграфе и задавали вопрос — работаю ли я на спецслужбы. На что я ответил «нет». Полиграф, с которым работает опытный полиграфист — это вообще серьезный барьер для людей, которые хотят целенаправленно трудоустроиться, чтобы вредить организации.

— Можно сказать, что российские хакеры, в большинстве своем, находятся под контролем спецслужб?

— Полагаю, что 99,9% находятся в их поле зрения, даже если они думают, что их не замечают и даже если они только начинают пробовать себя в преступных схемах.

Например, спецслужбам становится известно, что человек занимается компьютерной преступностью: содержит бот-сеть, криптовалюту майнит на чьих-то компьютерах, или торгует данными на форумах, или он талантливый программист и разрабатывает вредоносное программное обеспечение.

Им могут предлагать сотрудничество.

— А если человек не захочет сотрудничать?

— В таком случае он может сесть, но и «сотрудничество» может не защитить от таких же последствий. У меня есть об этом некоторое представление благодаря анализу информации о деле [хакера] Константина Козловского (лидер хакерской группировки Lurk, в феврале 2022 года его приговорили к 14 годам лишения свободы строгого режима с ограничением свободы на 1 год. — прим. ред.) — он участвовал в разработке вредоносного программного обеспечения и причастен к похищению денег с банковских счетов.

Эти люди были самодеятельными, но в какой-то момент в их жизни появилась некая «третья сторона», которая начала им якобы помогать, на самом деле добиваясь руками этих самостоятельных людей собственных целей.

Как следует из содержания опубликованных чатов участников группировки Lurk, в их круге общения присутствовал человек с никнеймом «meg», который, как полагают, имел отношение к Центру информационной безопасности ФСБ. Также «meg» не появлялся в качестве фигуранта дела, и о мероприятиях по выяснению личности этого человека ничего неизвестно.

— Если за деятельностью Lurk тоже стояла ФСБ, почему Козловский оказался в тюрьме?

— Если это так, то в какой-то момент его команда могла перестать представлять интерес, и они нашли более способных разработчиков. У разработчиков вредоносного программного обеспечения есть конкурирующие группировки, которые могут делать вредоносные программы и сервис лучше, или тратить на это меньше времени и средств. Из-за чего группировка зарабатывает меньше, становится менее конкурентоспособной. А может они [спецслужбы] решили получить еще одно раскрытое дело. 

Если посмотреть на заметки Козловского, он рассказывает о том, что действия Lurk стали прикрытием для работы другой группировки, которая использовала вредоносное ПО «Buhtrap» для кражи денежных средств.

Лидер хакерской группировки Lurk Константин Козловский (в центре)

— А кейсом группировки Lurk вы тоже занимались в рамках работы в Group-IB?

— Я изучал доступную в сети информацию в поисках ответов на вопросы, например, что за человек был под никнеймом meg, который представлял в сотрудничестве с Lurk «третью сторону». Но мой набор вводной информации был ограничен публично доступными документами, чего-то нового я не выяснил.

Тут важно отметить, что набор действующих лиц в истории с Lurk очень велик, и изучение всех взаимосвязей может занять немало времени. На некоторые вопросы нет четкого ответа, в частности, почему специалисты-расследователи обнаружили присутствие ПО Lurk только после того, как приехали в пострадавшие компании, но средства защиты производства их работодателя [Лаборатории Касперского] были активны до того и не сообщали о присутствии того же ПО?

Также не до конца ясен интерес сотрудников Сбербанка и фирмы «Бизон», чьи специалисты участвовали в обысках у родственников Константина Козловского в связи с тем, что те ведут профиль в фейсбуке и размещают там информацию о подробностях дела.

Я недавно заглянул в профиль Константина Козловского: его сторона обращалась к компании Group-IB за проведением технической экспертизы в 2022 году, но в экспертизе ей было отказано.

Илья Константинович на тот момент уже находился в СИЗО и наврядли мог повлиять на принятие решения.

В каких целях российские спецслужбы, в основном, используют хакеров?

— Я не считаю себя компетентным, чтобы комментировать эту тему. Предлагаю обратиться к исследованиям, которые регулярно публикуют поставщики киберразведки и средств сетевой защиты. Деятельностью группировок, которые называют пророссийскими, больше интересуются зарубежные (не российские) поставщики.

Что касается использования программистов для целей государства, то было довольно любопытное расследование у Христо Грозева (совместное расследование The Insider, Bellingcat и Der Spiegel. — прим.ред), где определены, в сущности, программисты, которые занимаются тем, что направляют ракеты [в Украину] по определенному маршруту. И это не тролли в интернете, а вполне себе понятные запуски. Так что специалистов, которые остаются в России, так или иначе задействуют в подобных мероприятиях.

— Говорят, что за последний год Россию покинули 100 тысяч IT- специалистов. При этом, Сачков назвал условием для их возвращения безопасность. Вы верите, что это достижимо?

— Я думаю, что сейчас крайне затруднительно обеспечить безопасность для ИТ-специалистов, в частности, дать гарантии неучастия в войне.

У тех специалистов, кто не уехал, скорее всего, есть личные обстоятельства или внешние ограничения. Потому что высокий уровень оплаты труда или льготная ипотека могут быть недостаточными для того, чтобы компенсировать риски оказаться на войне, и бронь от мобилизации (если таковая есть) для кого-то не будет восприниматься как гарантия на все время войны. Они также, на мой взгляд, не могут компенсировать отсутствие возможности без последствий выражать негативное отношение к войне и оккупации территорий суверенного государства. Это выбор каждого отдельно взятого человека, и свой выбор я уже сделал.