Журналисты авторитетного американского издания Wired, заручившись помощью многих видных экспертов по информационной безопасности, полтора года изучали крупную утечку данных из недр хакерской группировки Trickbot, которую на Западе традиционно ассоциируют с Россией и даже напрямую с Кремлем. В результате расследования они назвали имя лидера киберпреступников. Им, как утверждает издание, стал 41-летней Максим Галочкин из Абакана, который якобы скрывается под ником Bentley.
У меня большие планы. Я хочу быть богатым, хочу стать миллионером. Получив много денег, я получу все, к чему стремился
Разоблачение стало возможным из-за крупной утечки
Расследование Wired началось в марте 2022 года, вскоре после того, как некто под ником Trickleaks опубликовал в социальной сети Twitter (сейчас — X) переписки нескольких десятков членов Trickbot из внутренних онлайн-чатов защищенных мессенджеров. Всего в них оказалось около четверти миллиона сообщений, а также самодельные досье на хакеров. В них были указаны их реальные имена, фотографии, учетные записи в социальных сетях, номера паспортов, телефоны, города или даже точные адреса проживания.
Кроме того, в записях содержались 2,5 тысячи IP-адресов членов группировки и принадлежащие им 500 криптовалютных кошельков. Число хакеров, входящих в Trickbot, оценили в диапазоне от 100 до 400 человек.
«С учетом того количества информации, к которой был получен доступ, за утечкой стоит либо кто-то, кто достаточно хорошо внедрился в группировку, либо исследователь, нашедший способ проникнуть в инфраструктуру Trickbot», — предположил аналитик по киберугрозам компании Cyjax Джо Риден.
Утечку Trickleaks заметили специалисты в области информационной безопасности и силовые структуры западных стран. Но в России инцидент в целом прошел незамеченным во многом из-за начавшейся за несколько недель до слива специальной военной операции.
Как вычислили хакера?
Идентифицировать хакера Wired удалось благодаря тому, что в ролике на одном из YouTube-каналов, посвященном криптовалютам, его автор показал залогиненный аккаунт в защищенном мессенджере Jabber. Именно эти логин и аккаунт за несколько лет до этого фигурировали в слитых переписках Bentley.
Таким образом, поняв, что глава Trickbot и является автором ролика, исследователи начали анализировать данные этой учетной записи YouTube. В частности, они изучили, кем, когда и в каких аккаунтах использовались похожие логины или даже пароли. Эта сложная цепочка вывела экспертов на Галочкина, жителя российского Абакана, который ранее носил имя Максим Сипкин.
могут входить в Trickbot
С этими выводами согласились независимые эксперты с весьма громкими именами в западном мире информационной безопасности. В частности, президент Hold Security Алекс Холден, который посвятил расследованиям в отношении членов Trickbot несколько лет жизни, а также гендиректор Cybernite Intelligence Радое Васович и главный исследователь компании Nisos Винцас Чижюнас.
Исследователям также удалось раздобыть фото хакера, которые он выкладывал на сайтах GitHub и Gravatar. Wired описывает россиянина хорошо сложенным мужчиной с густыми темно-коричневыми бровями и темно-коричневой бородкой. По словам журналистов, у него длинные седые волосы, а на самом снимке он позирует на склоне горы, одетый в джинсы и белую футболку, с походным рюкзаком за плечами.
Хакер симпатизировал оппозиции и рассказал жене о своей работе
Несмотря на общепринятые среди киберпреступников принципы взаимоотношений с коллегами по ремеслу, хакер часто раскрывал в переписках личную информацию, пишет Wired. В частности, он рассказывал, что имел некоторые сложности в отношениях с женой, когда рассказал ей, чем именно он занимается.
Я сказал ей, что мы трахаем высокомерных придурков из американских корпораций. Самое главное, что мы не преследуем обычных работяг и бедняков
До смены фамилии россиянин, по данным Nisos, сочувствовал оппозиционному российскому движению «Солидарность». Утверждается, что он «был избран в политсовет регионального отделения движения и говорил о проблемах коррупции и цензуры в России, призывая к возвращению к демократии и расследованию деятельности чиновников».
При этом в Wired полагают, что в слитых переписках имеются некоторые отсылки к тому, что у Trickbot есть связи если не с Кремлем напрямую, то как минимум с отдельными сотрудниками силовых структур. Например, когда в 2021 году нескольких предполагаемых членов группировки судили в США, один из высокопоставленных сотрудников Trickbot написал, что в ФСБ к обвиняемым относятся нейтрально или даже положительно, а «у шефа [хакеров] есть нужные связи».
В целом подобные заявления крайне характерны для западной прессы, когда дело доходит до описания деятельности группировок, ассоциирующихся с Россией. Однако важно помнить, что Trickbot нацеливался в основном на финансовые корпорации и не выполнял в чьих-либо интересах задач, связанных с разведкой.
На Западе уже называли имена членов Trickbot, но Галочкина среди них не было
В феврале 2023 года Министерство юстиции США объявило имена семи предполагаемых членов группировки и ввело против них санкции. В заявлении сказано, что все они — граждане России, постоянно проживающие в стране. Но Галочкина в этой семерке не оказалось. Текст пресс-релиза в целом отвечал духу высказываний о России последнего времени.
«Киберпреступники, особенно базирующиеся в России, стремятся атаковать важнейшие инфраструктурные объекты, представителей американского бизнеса и международную финансовую систему, — сказал заместитель министра финансов США по вопросам терроризма и финансовой разведки Брайан Нельсон. — Соединенные Штаты в партнерстве с Великобританией предпринимают в связи с этим определенные меры, так как мы верим, что международное сотрудничество является ключом к борьбе с российской киберпреступностью».
В пресс-релизе также утверждается, что «Россия стала убежищем для киберпреступников», где никто не мешает хакерам из различных группировок совершать бесконечные атаки на США, Великобританию и их партнеров. В частности, русских хакеров обвиняют в атаках на критическую инфраструктуру, а также госпитали и другие медицинские учреждения. Стоит отметить, что представители крупных группировок на различных площадках и в разное время отрицали, что нацелены на социальные объекты.
Что касается семерых россиян, упомянутых в документе, то один из них — Виталий Ковалев, якобы состоящий в числе лидеров Trickbot, — называется там носителем ника Bentley. Журналисты Wired не считают, что Минюст ошибся в расследовании, и объясняют одинаковые ники Ковалева и Галочкина простым совпадением.
Сам Ковалев, как утверждает авторитетный западный ИБ-журналист Брайан Кребс, еще в середине прошлого десятилетия пытался снять в России фильм «Ботнет», посвященный хакерской группировке. В одной из ролей он якобы планировал задействовать российскую студентку, которая работала дропом, попалась американским силовикам, но потом пошла на сделку со следствием.
Ни один из семи фигурантов санкционного списка не давал комментариев российским СМИ. Однако один из них все же признался в беседе с Wired, что выполнял некоторые задачи по программированию на внештатной основе несколько лет назад, и они не показались ему противозаконными.
Trickbot создала один из самых опасных банковских вирусов
Группировка попала в поле зрения экспертов еще в 2016 году, что делает ее одним из самых долгоживущих киберпреступных объединений в России. Аналитики полагают, что либо Trickbot тесно связана с другим известным объединением хакеров — Conti, либо в них вообще входят одни и те же люди.
Trickbot за эти годы удалось развернуть ботнет и связанный с ним банковский троянец, который крадет персональные данные и финансовую информацию. Его первая версия появилась еще в 2014 году под названием Dyre. При этом виде атаки само зараженное устройство в дальнейшем также используется для атак на других жертв, зачастую — без ведома владельца
Изначально вредонос обогащал своих создателей, воруя связки логинов и паролей от онлайн-банкинга и других финансовых приложений, в том числе криптокошельков. Эти сведения можно было как использовать самостоятельно, так и продавать в даркнете. Со временем троян стал более сложным: попадая в сеть, он открывал дорогу к заражению корпоративных систем другими вирусами. Среди них встречались и программы-вымогатели, благодаря которым киберпреступники шифровали или блокировали данные жертв и требовали выкуп за расшифровку. При этом поддавшиеся на шантаж компании, как правило, не раскрывают сведений об этом.
Аналитики «Лаборатории Касперского» полагают, что основная цель ботнета сейчас — проникновение и распространение в локальных сетях. Они отмечают, что после этого «операторы могут использовать его для решения множества разных задач — от предоставления захваченной площадки сторонним злоумышленникам до кражи конфиденциальных данных».
В США утверждают, что Trickbot атаковал объекты гражданской инфраструктуры (в первую очередь — медицинские учреждения) в 2020 году и тогда же якобы начал выполнять задачи в интересах Кремля. Что любопытно, незадолго до этого в Microsoft заявили, что 90 процентов инфраструктуры группировки уничтожены. В ответ на это члены Trickbot в последующие полтора года заразили более 140 тысяч устройств, среди которых были компьютеры клиентов и сотрудников Microsoft, Amazon, PayPal, Bank of America, Wells Fargo, American Express и других крупных корпораций.