Sean Townsend: “ослиное упрямство со стороны киберполицейских и нежелание признавать собственные ошибки”

FalconsFlame КиберХунта Trinity RUH8

КАК РАЗВАЛИТЬ ХАЙТЕК ДЕЛО И НИЧЕГО НЕ ПОНЯТЬ
(TL;DR про Антона Тимохина, Avalanche и киберполицию)

Я был почти уверен в том, что шестого февраля киевского программиста Антона Тимохина (его обвиняют в причастности к группировке Avalanche) апелляционный суд отпустит, хотя бы под подписку о невыезде. Антона задержали 30 ноября 2016 года, и с тех пор он находится в СИЗО. Я прочитал документы и посмотрел интервью (правоохранителей, адвокатов и самоого обвиняемого), и постараюсь еще раз рассказать эту историю понятным языком. Без помощи гугл переводчика, которым пользовалась генеральная прокуратура в своем ходатайстве – то что там написано представляет из себя безграмотный бред различной степени упоротости. Постараемся воссоздать оригинал, для чего воспользуемся документами из американского суда. https://www.justice.gov/opa/page/file/915211/download

Что такое Avalanche? Avalanche – это “fast flux” сеть. У сайтов в интернете есть имена, а есть соответствующие им IP адреса. “Встретимся у Васи? А где живет Вася? Справочная отвечает – по адресу такому-то”, и этот адрес не только обозначение, но и способ его найти. Для этого адреса и нужны. “Черным” хакерам, которые используют вирусы, совсем не нужно, чтобы их находили, изымали сервера и сажали в тюрьму. Fast Flux сеть меняет адреса, соответствующие имени, каждые несколько секунд перенаправляя запрос на разные компьютеры в сети, которые потом делают запрос к серверу, который и нужно спрятать от правоохранителей. Это упрощение конечно же, но и тут не хакерские курсы. Avalanche сдавали свою сеть в аренду по 150 долларов в неделю. И уже другие хакеры, пользовались услугой по анонимизации для распространения троянов. Мы только начали разбираться в деталях, а уже оказывается, что статья 190 (мошенничество) под большим вопросом. Совсем не факт, что сами хакеры из Avalanche, что-то крали. Продавец фальшивых документов не станет шарить по карманам.

Поехали дальше. В документах ФБР нет ника “Grower”. Совсем нет. И почты нет. Есть джаббер-ники ffhost, ffhost2, flux и flux2, а так же форумные ники User41 и Firestarter. Если вы думаете, что на подпольных форумах может зарегистрироваться кто угодно, то вы ошибаетесь. Нужно четко и со знанием дела объяснить, кто вы, откуда и зачем пришли, а в случае с Verified еще заплатить 50 долларов за головняк, который вы причиняете администрации. Понятно, что для киберполиции преодолеть обе эти преграды – абсолютно непосильная задача.

В результате очень долгой и кропотливой (технической и юридической) работы, ФБР удалось перехватить часть сообщений и заблокировать домены. И вместе с немецкой полицией собрать хоть какие-то зацепки. Перечисленные ники создавались специально для торговли на подпольных площадках. Даже конченный наркоман не станет представляться там своим обычным ником, а Avalanche – грамотные сетевые специалисты (запомните сетевые, это важно), а не торчки.


Оплату за услуги нужно куда-то принимать, и в документах фигурируют кошельки платежной системы Webmoney. Все помнят про ники? Так вот прятаться за никами, соблюдать правила безопасности и принимать деньги на свой кошелек – это на грани клинического идиотизма. Все данные по кошельку WM будут вскрыты по первому требованию полиции. Поэтому кошельки с полными пакетами документов (и иногда карт) продаются. Человек, на которого зарегистрирован кошелек Avalanche может быть не преступником, а жертвой кражи личности, но речь сейчас идет не о нем, хотя он тоже подан в розыск.

Возращаемся к “Grower” (“садовод” по-английски), это весьма распространенный ник и он возникает где-то во взломанной ФБР переписке. При этом абсолютно непонятно, что это за ник – джаббер или почта, или что-то еще. Немецкая полиция пересылает имеющиеся данные в Украину, и тут начинается самое интересное. (Выдержки из документов генпрокуратуры можно найти тут – http://balkonskii.livejournal.com/ )

Чтобы вы понимали, что такое киберполиция, то я вам скажу, что их основная функция – порно и работорговля, раньше они назывались Управление по Борьбе с Киберпреступностью и Торговлей Людьми. Так как у нашей киберполиции нет пресс-службы, то я пролистал их фейсбук за последние полгода. Нужно отдать им должное, сделали они не мало. Бесспорно, заслуживает уважения то, что полиция раскрыла множество дел связанных с детской порнографией и мошенничеством. Первый отчет за полгода, который описывает именно киберпреступление – распространение трояна для хищения паролей Pony, датирован 1 июля 2016. Со всем остальным могли и должны были бы справиться обычные полицейские. Но даже этот успех не был самостоятельным, киберкопам помогла частная компания CyS Centrum.

Я не знаю, как киберкопы вышли на первого подозреваемого Геннадия Капканова, возможно через транзакции платежных систем, но это был успех – при обыске у Капканова изъяли 70 тысяч долларов наличными, водительское удостоверение зарегистрированное на адрес в Лондоне, десяток платежных карт, симки, оружие, оборудование и документацию. Его отпустили потому, что прокуратура не выдвинула обвинение в покушении на убийство (Капканов отстреливался, и у меня уже начинают возникать сомнения, а отстреливался ли?) и он естественно сбежал. Со вторым подозреваемым Антоном Тимохиным история получилась и вовсе скандальная.

Когда я просматривал документы прокуратуры, то увидел неполный адрес “anton18@”, я набрал в гугле: “anton18@ grower” и нашел вот эту страницу 2004 года: http://softsearch.ru/programs/87-649-abac-download.shtml Антон десять лет назад выложил бесплатную программу для подсчета времени, проведенного в Интернете. Скриншот этой же страницы есть в ходатайстве прокуратуры. Это все, что связывает ник “grower” из немецкого запроса (даже не известно что это за ник почта или чат) с Антоном Тимохиным. Другим “доказательством” является то, что Антон подписан ником “Grower” ВКонтакте.

Антон живет в однокомнатной квартире (которая ему не принадлежит), ездит на кредитной Шкоде, при обыске у него изъяли всю технику и шесть тысяч сбережений. Сам он программирует на C#, то есть он не сетевик и уж тем более не хакер. Один раз он ездил в США в командировку. Адреса “anton18@ua.fm” в запросе немецкой полиции нет. И страницы ВКонтакте там тоже нет. Идентификацию “путем поиска в сети Интернет” (цитата) проводили не немцы, а украинская полиция.

За почти три месяца, которые Антон провел в СИЗО, прокуратурой не было представлено ни одного доказательства вины Антона кроме злополучного ника. Экспертиза изъятой техники, насколько мне известно, не показала ничего. Мутный скриншот страницы с SoftSearch и упоминание ника в чатах, которые пока еще не стали достоянием общественности – это все что есть у прокуратуры. Прокуратура настаивает на содержании под стражей потому, что Avalanche украли “миллионы”, но и это вряд ли сделали они, сумма в 280 тысяч долларов, которая прошла по вебмани-кошельку соответствует в среднем 17 клиентам в месяц в течении трех лет по озвученным расценкам. И эта сумма, судя по материалам делилась между Капкановым и (предположительно) его партнерами. Возможно, это не единственный кошелек. Впрочем, особенности преступного бизнеса Avalanche меня интересуют постольку поскольку. Подведу итоги. Что у нас есть?

У нас есть киберполицейские, которые с июля месяца раскрыли всего одно киберпреступление, и которым в этом помогла частная фирма. С отслеживанием проводок по счетам, я вас уверяю, справятся и обычные копы без модной приставки “кибер” (это моё предположение о поимке Капканова) Копы которые не могут, не то что перевести самостоятельно документы, но хотя бы найти вменяемого переводчика, нашли в тексте пару понятных им слов “никнейм гровер” загуглили их, и сцапали первого попавшегося программиста с подходящим ником.

Улик на обыске нет. Экспертизы нет. Выписок со счетов нет. Денег нет (сейчас друзья Антона собирают деньги для его семьи и адвокатов). Наружки нет. Прослушки нет. Дампов трафика нет. Свидетельств, что он заходил на Верифайд и Мазафаку, или общался с кем-то в джаббере нет (а провайдер все это хранит). Антоновых IP в деле нет. На работе ничего нет. Свидетельств миллионных хищений нет. Зато есть ослиное упрямство со стороны киберполицейских и нежелание признавать собственные ошибки. Ни прокуратура, ни полиция не могут по-человечески изложить суть дела для неспециалистов.

Я обращаюсь к генеральной прокуратуре и национальной полиции – перестаньте мурыжить Антона Тимохина в тюрьме. За три месяца можно было либо представить новые доказательства его вины или признать ошибку и извиниться перед невиновным человеком, который из-за вашего страха перед начальством сидит за решеткой. Получается у вас ловить обычных мошенников? Спасибо вам за вашу работу, а ваши “сенсорные панели SQL” засуньте назад в… гугл, туда же, где вы нашли чертов никнейм.

Sean Townsend




Залишити відповідь

Top