Замначальника одного из отделов ФСБ обвиняют и в причастности к хакерам, попытке создать аналог АНБ в России, сливе переписки федеральных чиновников и государственной измене. Официальные подробности обвинений неизвестны, но среди версий громкого дела - передел сфер влияния силовиков, денежный вопрос и личная месть крупного чиновника.
В закладки
Главное здание ФСБ на Лубянке
Громкий арест
Публичные люди обвиняли группировку «Шалтай-Болтай», известную также как «Анонимный интернационал», в вымогательстве. При этом люди, представляющиеся участниками хакерского объединения, что не являются политически ангажированными, а просто стараются донести до масс изнанку тех или иных политических событий, выступая в роли простых граждан, которые имеют право знать о «зазеркалье» российской политики.
Телеканал «Царьград» в своём материале связывает деятельность «Шалтая» с ЦРУ, что вполне вяжется с обвинениями Михайлова в госизмене на уровне конспирологии.
Сбербанк и большие данные
По данным того же «Царьграда», Михайлов якобы вёл переговоры с руководством Сбербанка, имеющим в своём распоряжении одну из крупнейших в России служб информационной безопасности. По мнению телеканала, используя базу данных Сбербанка, Михайлов собирался создать систему, которая могла бы следить за большинством российских граждан.
Предлагалось не просто усилить безопасность, а создать фактически новую интернет-спецслужбу, подобную АНБ США, которая держит под колпаком всех американцев.
Напомним, достаточно совместить базу Сбербанка и массивы данных о тех же людях в соцсетях, чтобы иметь на руках один из крупнейших массивов данных на граждан России.
Председатель правления крупнейшего банка в России Герман Греф не мог не быть в курсе подобного плана. Если бы арест Михайлова не состоялся, тот перешёл бы уже в непосредственное подчинение Грефа. Человека, как говорят, вхожего в западные глобалистские круги и упрямо отказывающегося открывать офис доверенного ему в управление банка в русском Крыму.
Из материала «Царьграда»
В своей аналитике «Царьград» делает вывод, что Михайлова арестовали из-за слишком больших амбиций, приводя в пример предвыборную кампанию Дональда Трампа, который якобы смог достичь победы при помощи «Больших данных». Михайлов, по мнению телеканала, мог бы влиять на политические предпочтения граждан, получив доступ к базе Сбербанка.
Новый игрок
«Коммерсантъ» 13 января со ссылкой на свои источники , что арест Михайлова может привести к отставке начальника ЦИБ ФСБ Андрея Герасимова, занимающего пост заместителя руководителя Первой службы ФСБ, специализирующейся на контрразведке. Герасимов, по данным издания, также входит в попечительский совет Лиги безопасного интернета.
Собеседники издания РБК , что конфликт вокруг Михайлова может быть связан с переделом сфер влияния внутри отделов ФСБ, чьи интересы пересекаются. Эту версию попытались опровергнуть другие источники издания, заявив, что ведомство могло решить внутренние проблемы «хирургически» путём кадровых перестановок. Сам Михайлов в комментарии изданию также заявил, что не верит версии, будто к его уголовному преследованию привели «внутренние разборки» ФСБ.
Версию с переделом власти внутри ФСБ подтвердил и источник « », знакомый с Михайловым. Он же подтвердил причастность силовика к «Анонимному интернационалу».
Шло определённое противостояние между различными силами в спецслужбах. Победителем вышел ЦИБ, у «Шалтая-Болтая» появились новые кураторы, там всё изменилось. Однако победа оказалась временной. Теперь сотрудники ЦИБ, включая «победителя» Михайлова, один за другим отправляются в СИЗО. А жаль. Михайлов действительно отличный специалист, один из лучших в своем деле.
Собеседник «Росбалта»
По данным «Росбалта», сотрудников ФСБ действительно арестовали за передачу третьим лицам некой информации, представляющей угрозу для России. Однако с деятельностью «Анонимного интернационала» связь в этом деле отсутствует или не разглашается. По словам собеседника издания, задержанные уже дали признательные показания, хотя с обвинением в госизмене не согласны.
В Кремле информацию об аресте сотрудников ФСБ комментировать , заявив, что данный инцидент не находится в их компетенции.
Автор анонимного Telegram-канала «Незыгарь» предположил, что аресты сотрудников ФСБ могут быть направлены против главы Сбербанка Германа Грефа и бывшего руководителя администрации президента Сергея Иванова. По мнению Незыгаря, операция направлена на зачистку их людей в контрразведке. Правда, по какой причине решили повлиять на высокопоставленных персон, автор канала не уточняет.
Ещё одна версия, связанная с арестами, говорит о денежном вопросе. Якобы сотрудники ФСБ решили провести передел рынка информационной безопасности. Такое мнение
Данная статья написана мною во-первых, и что ни мало важно, на основе материалов абсолютно публичных судебных слушаний в Тушинском суде г. Москвы по делу о ДДОСе Ассиста/Аэрофлота и во-вторых исключительно в поддержку органов гос. Безопасности России. Прочитайте и вы поймете почему.
Как вы знаете дамы и господа мы многократно обращались к следствию, к прокуратуре и к суду с просьбой отправить материалы нашего уголовного дела по ДДОСу Аэрофлота и Ассиста на доследование.
Одной из основных причин нами озвученных послужил тот факт, что на первый взгляд все справки ОРМ, предоставленные в деле, не были должным образом рассекречены, а учитывая содержание данных документов, вызывающих у тонких ценителей улыбку и внимание СМИ к процессу, такая просьба от нас была как минимум не лишена смысла.
Я не знаю с какой целью нам с завидным постоянством отказывают и посему считаю просто необходимым рассмотреть внимательно некоторые доказательства обвинения.
Журнал CNEWS опубликовал ранее 3 статьи, в которых была изложена в общем и целом весьма достоверно версия следствия. Журналиста весьма ожидаемо, хотя он целиком и полностью на мой взгляд отразил мнение следствия, обвинили в коррупции, собственно это судьба любого журналиста, когда-либо работавшего с материалами этого дела. Вслед за этим его немедленно пригласили на работу в Лабораторию Касперского. (hint! :-))
Напомним логику следствия. Атака состоялась летом в июле 2010г.
Вскоре после атаки осенью 2010г. оперативники ЦИБ ФСБ перехватили из неизвестного источника переписку сотрудников компании ChronoPay, в которой обратили внимание на платежи в Webmoney некоторым странным людям за «пиар» по 500 баксов в день примерно в те же даты, когда шла ДДОС атака на платежную компанию Ассист. Уточнив в Webmoney, что позывной “Engel” имеет отношение к данному кошельку, куда платили из ChronoPay, оперативники получили так же IP адрес господ, предположительно Артимовичей (согласно кошельку Webmoney), уточнив по IP в компании НКС реальный адрес по которому проживали «хакеры». Поставив интернет соединение по этому адресу на прослушку СОРМ (получив ордер суда), оперативники через прослушку получили доступ (юзернейм и пароль) в некую «админку» некоего ботнета. Зайдя в ботнет, оперативники скачали пример «бота», которого отгружал ботнет и отправили его вместе с доступом в компанию Group-IB, заодно отправив туда результаты отражения ДДОС атаки представленные компанией Касперского, защищавшей Ассист от ДДОСа (впрочем неудачно), сославшись на еще одно решение суда на все эти действия. Group-IB так же слазили в ботнет, заодно так же скачали «бота», и сравнили адреса атакующих машин с адресами полученными в ботнете получив 30% совпадений. Через 10 месяцев после всей этой истории в Мае 2011г ЦИБ ФСБ по данным материалам возбудил уголовное дело и посадив в СИЗО Лефортово Игоря Артимовича получили от него признанку, что атаку заказал я через посредника, моего сотрудника, случайно оказавшегося бывшим сотрудником ЦИБ ФСБ, некоего Пермякова Максима (тоже посаженного в Лефортово) брат Артимовича Игоря - Дмитрий Артимович вернулся из-за рубежа и сам сдался следствию.
При обыске у Игоря Артимовича уже Следствие ФСБ изьяло ноутбук, впрочем новый не имевший отношения к атаке, и на нем через 5 месяцев после изьятия и 15 месяцев после атаки Лаборатория Касперского обнаружила сорс-коды (исходники) того самого ботнета который 15 месяцев назад видели в онлайне сотрудники ЦИБ ФСБ. Сравнение скачанного «бота» оперативников с сорс-кодом указало на то, что данный «бот» был создан этим сорс-кодом.
Таким вот образом выглядит логика следствия.
Казалось бы, что здесь не так?
Основная проблема которая случилась в суде была вовсе не в том, что закон по которому нас всех привлекли был успешно декриминализован.
Ну мало-ли бывает. Проблема случилась совсем в другом - в том, что если внимательно и спокойно читать документы оперативников возникают некоторые неточности. До такой степени что мы уже полгода их с судом и Генпрокуратой читаем.
Беда не в том, что сотрудники ЦИБ ФСБ России весьма часто нарушают формально законы права, типа той же «рассекретки», о, нет, кто мы такие учить ЦИБ ФСБ праву, беда в том, уважаемые читатели, что вместе с законами права они так же нарушили весьма много законов природы, и вот это настораживает.
Сотрудники ЦИБа ФСБ России и затем уже СУ ФСБ, ни много ни мало, с завидным упорством путешествуют во времени и овладели технологией трансмутации предметов. Проблема усугубляется еще и тем, что вместе с ними путешествием во времени видимо занимаются сотрудники Лаборатории Касперского и Group-IB, и они же участвуют в трансмутации. Иногда настойчиво применяются технологии клонирования следователя, а так же возможно путешествия в паралелльные миры.
Действующие лица нашего рассказа: Генерал Андрей Васильевич Герасимов, начальник ЦИБ ФСБ России, он же первый заместитель руководителя контр-разведки ФСБ России, в прошлом, кстати, заместитель господина Мирошникова Бориса Николаевича, экс-руководителя печально известного БСТМ МВД, он же Мирошников был известен в кругах бизнеса, как «Бич Чичваркина». Господин Мирошников судя по открытым источником некогда служив еще в ФСБ и создал структуру ЦИБ ФСБ, покинул родные пенаты и продолжил славное дело защиты родины от кибер-зла в им же созданым (по образу и подобию, или возможно из ребра) БСТМ МВД. Полагаю именно Андрей Васильевич Герасимов поручил изьять оригинальные справки ОРМ и подсунуть вместо них то, что имеем, весьма вероятно просто поскольку увидел в тексте ссылки на использование таких секретнейших технологий как путешествие в будущее и трансмутацию предметов. Подчинененный Герасимова и он же основное действующее лицо - господин А. Лютиков. Именно господин Лютиков осуществлял в большинстве операции трансмутации и путешествий во времени судя по документам. Изредка к этой феерии присоединялся Дадинский Сергей Сергеевич, следователь Следственного Управления ФСБ России. Так же где-то далеко на фоне чувствуется умелая рука господина полковника Сергея Михайлова, он же «Бич ROEM-Синодова», он же начальник 2ого отдела ОУ ЦИБ ФСБ России, именно того отдела кто по сути возбудил наше печальное дело.
Переходя к сути вопроса отметим, что лично мы обратили внимание на путешествия ЦИБ во времени, когда господин Лютиков отправился в прошлое, подписывая рапорт о рассекречивании справок ОРМ, или возможно просто только что вернулся из оттуда -это не известно. Известно лишь то, что 226ой Приказ ФСБ «Инструкция о предоставлении результатов ОРМ в суд» на который сослался господин Лютиков в 2010г и на основе которого рассекретил документы благополучно был отменен еще в 2007ом году, и в настоящее время не действует.
Возможно если бы он руководствовался современным приказом - подобных казусов, как стряслись у нас, и не произошло бы. Ведь у нас получилось как - из всех рассекреченных справок ОРМ ни одна не попала в дело. В дело попали справки с другими номерами и другими датами, чем те которые указаны в постановлении о рассекречивании.
Куда пропали оригиналы - загадка. Впрочем, представитель прокуратуры затребовал у ЦИБ обьяснения на суде и выяснил, что оказывается «при рассекречивании у ЦИБа меняются номера документов»
Это не коим образом не обьяснило ни куда делись в таком случае старые номера (трансмутация впервые?!) ни грифы секретности, ни что же стало с датами, т.е. те мелочи которые закон «О Гостайне» требует от секретных документов да и собственно о каких документах говорит ЦИБ.
Впрочем, загадка разрешилась когда адвокаты указали Генпрокуратуре что во всех справках мероприятия ОРМ датированы датами «СЕГО ГОДА», в многих из них «МЕРОПРИЯТИЯ ПРОДОЛЖАЮТСЯ» и таким образом выпадают из сроков разрешенных судами на проведение мероприятий этак на год, прокурор легко справился с этой сложной задачей ответив, что сии справки в суде есть лишь копии оригинальных справок ОРМ в которые (в копии) случайно вкрались фрагменты оригинальных справок. Но это как раз господа читатели из разряда формальностей. Не беда, что супротив закона читая эти справки-копии и сравнивая их с решениями судов любезно приложенными на проведение мероприятий фактически абсолютно не возможно сказать законны ли были мероприятия, действительно какая разница для людей летающих в будущее и овладевших трансмутацией наши бренные законы. В любом случае читая эти документы ниже, имейте ввиду, что в суде мы уже выяснили, что подписание их всех 12ым Мая 2011г - это дата копий в которые вкрались фрагменты утраченных оригиналов, т.е. когда проводились сами мероприятия надо немножко угадывать исходя из принципа, что речь идет о 2010ом годе.
Так или иначе, но господам Лютикову и Ко, как мы увидели, очень нравились путешествия во времени.
Ход за ходом. Впервые, кстати, логично и ожидаемо, в будущее отправили конечно-же потерпевшего и дураку понятно, не Аэрофлот. Не исключено - это были тесты, как на собаках в Советские времена, которых зашвыривали в космос. Именно так первым в будущее отправился сотрудник компании АССИСТ коей 21ого Июля 2010г в своем дополнительном заявлении указал убытки по 24ое Июля 2010г, т.е. на момент окончания атаки.
Я могу понять сотрудников ЦИБ. 21ого пока шел ДДОС им уже не терпелось узнать, а чем же все закончилось и сколько потерял Ассист. Для этого господину Курнакову Д. из Ассиста пришлось перетерпеть видимо не малое. Убедившись, что Курнаков цел и не вредим, оперативники уже пошли видимо на риск сами. После того как из переписки ChronoPay сотрудники ЦИБ ФСБ России получили номер кошелька ВМ, из самого Webmoney они же получили - IP адрес Артимовичей, что случилось согласно документам вообще не известно когда, предположительно 27ого Июля 2010г, но поскольку именно там взяли сам IP Артимовичей, то очевидно ранее чем, сотрудники ЦИБа запросили 1ого Августа 2010г в НКС домашний адрес Артимовичей, чтобы получить на него решение суда на проведение СОРМа. Ощутите это - учитывая, что сама атака была с 15ого по 24ое Июля 2010г. Т.Е. в течении недели от атаки они получили подозрительную переписку в ChronoPay, получили данные из Webmoney, и отправились по ней уже с результатом и каменными лицами получать решения суда МГС на СОРМ по адресу Артимовичей. Прикол в том, что ждать пока НКС ответит с адресом они конечно же не могли:
Родина была в опасности, поэтому уже через несколько дней 3ого Августа заветный СОРМ стоял по адресу Артимовичей заверенный решением суда МГС. Возникает резонный вопрос - а откуда они узнали интересно этот адрес и как обосновали в суде, если компания НКС судя по документам ответила им через 2 (!) месяца 27ого Сентября 2010г после их запроса и по сути через 2 месяца после того как они там уже СОРМили во всю по решению суда МГС. Интересно так же выяснить, что заставило компанию НКС нарушить закон и отвечать аж 2 месяца, когда закон разрешает на ответ 30 дней. Ну тут все просто - Лютиков просто не стал ждать и слетал в будущее где и взял ответ НКС с адресом, показал его в МГС, там никто не удивился ответу из будущего, опера ЦИБ ФСБ видимо сплошь и рядом пользуются машиной времени, и вот уже опера стоят на страже с СОРМом в Митино.
На этом путешествии, однако, господа из ЦИБа не успокоились. Многие программисты и хакеры писали, что мол надо ж быть таким лохом, чтобы на месте Артимовичей подключаться к админке ботнета через свой IP. Кстати согласен. Собственно, как следует из бумаг, подключение в любом случае шло в режиме SSL шифрования, которое не позволяет ничего из него расшифровать на перехватах, в противном случае весь банковский мир был бы под угрозой.
Но это простым спецслужбам. ЦИБу с машиной времени и трансмутацией на такие мелочи совершенно плевать - и в SSL трафике (приложенным любезно на диск и трансмутационно уничтоженным с диска позже) нашелся юзернейм и пароль к «админке». Что приятно, данный документ не дает установить прям точную картину когда проводилось мероприятие. Тем не менее однозначно Лютиков не удержался и тут, и совершенно беспричинно опять сорвался в будущее, поскольку другим образом объяснить откуда у него в начале Августа, а именно 9-11ого и 12ого, исходя из справки, уже был список атакующих адресов невозможно совершенно, поскольку список атакующих адресов из Касперского запросили то лишь 20ого Августа 2010г.
Дальше, однако, как вы увидите, пользуясь так сказать оказией, господа из ЦИБа взяли за привычку путешествовать во времени и класть с прибором на мнение всяких там «хакеров». Дело тут вот в чем. Всласть полазив по некой «админке» и скачав с нее какого-то «бота», оперативники отправили сие в компанию Group-IB 8ого Сентября 2010г. Где-то понимая в душе, что есть простые смертные, оперативники сообразили, что надо-бы указать на решение суда МГС на основании которого они всем этим действом занимаются. Беда однако была в том, что отправлять результаты им приспичило в начале сентября, а решения МГС 5588 еще не было. Хуже того - не было еще и списка собственно ботов из Лаборатории Касперского, для анализа атаки. Напомним - если запросили его в Августе 2010г, то пришел он лишь 18 Мая 2011. И решение МГС появилось лишь 30ого сентября 2010г. Это не смутило оперативников, поскольку у них была машина времени - они отправились в будущее ДВАЖДЫ. Сначала полагаю за решением МГС (на какой-то месяц) на которое решение от 30ого Сентября за номером 5588 они радостно сослались 8ого сентября, ну на месяц я думаю не сложно в будущее слетать им было, и на 10 месяцев вперед они слетали еще разок забрать список ботов из Лаборатории Касперского и уже после этого отправили письмом запрос в Group-IB 8ого сентября 2010г.
Эти мелочи кстати не смутили ни Group-IB ни Лабораторию Касперского. Дополнительно в свою очередь Group-IB посрамило всех хакеров тем, что как выяснилось перехваченные логины и пароли через СОРМ и не понадобились, поскольку Group-IB воспользовались совершенно другими (своими или личными Лютикова!?) доступами в данный ботнет, скорей всего либо силой мысли заставив ботнет отдать пароли, либо просто слетав в будущее или прошлое там и поискав эти данные, какая в общем тут уж разница.
Кстати, лишь один этот документ я могу набраться храбрости признать фабрикатом, готов поверить в однократное путешествие во времени на документ образно говоря, но ДВАЖДЫ на мой взгляд - это конечно же бахвальство.
И вот получив понимание, что где-то на 30% что-то куда-то совпадает, оперативники и Group-IB…решили отдохнуть. Что их заставило отдыхать я не знаю, я знаю лишь по документам что 10 месяцев они не делали толком ничего. До Мая 2011г когда СУ ФСБ России отчаявшись судя по бумагам пытаться доказать, что ДДОС на Ассист, это не совсем атака марсиан, все-же возбудили уголовное дело. Тут же возникла оказия. Дело в том, что по закону для бренных простых смертных всякие мелочи типа вещественных доказательств принято, как бы оформлять соответствующе. И тут выяснилось, что с доказательствами есть некоторые проблемы, в прыжках в будущее и в прошлое они несколько явно под затерялись в общей неразберихе. Ну это как в книжках, если бы опер например раздавил случайно 2 тысячи лет назад маленькую букашку, то либо не родился бы Артимович и не было бы ДДОСа либо бы Михайлов не возглавил 2ой отдел - в общем вы меня поняли. Так или иначе, но случилась проблема - и в Group-IB и в Лабораторию Касперского с пресловутым «ботом» поступал один и тот же злосчастный диск за номером «5909….» Беда в том, что содержимое диска, как и его упаковка магическим образом постоянно менялось. В Group-IB например данный диск отправился уже с списком атакующих ботов из будущего от Лаборатории Касперского и файлом-ботом Crypted.ex, в то же время через 13 месяцев этот же диск зачем-то доехал в Лабораторию Касперского уже без списка ботов из нее же, и в черном конверте скрепленный подписями понятых, на суд далее этот диск попал в белом конверте, без подписей понятых, впрочем и так не ясно откуда они могли взяться поскольку диск понятые не осматривали, и собственно следствие его не признало доказательством. Судя по бумагам, верней по их 100%ному отсутствию в отношении данного диска, он телепортировался неизвестно откуда прямо аккурат в коробку с доказательствами переданную в суд. Других установочных данных пока обнаружить не удалось.
Это объясняется достаточно просто - дело в том, что в ЦИБе владеют технологией телепорта обьектов. Силой мысли они уничтожили лишние файлы на этом диске перед отправкой в Лабораторию Касперского, сделав это из любезности - ну зачем право же в ЛК отправлять файл из ЛК же, и силой мысли же отправили его в коробку доказательств, дабы видимо не мучать следствие, или это какой-то ведомственный прикол что-ли, поскольку следствие зачем-то осматривало с понятыми совершенно других три диска и зачем-то их три приобщило официально к доказательствам. В результате чего в коробке оказалось 4 диска из которых именно тот, что нужен по закону, в общем-то единственный и не осмотрен и не приобщен.
Впрочем это не единственный объект, подвергшийся телепортации. Гораздо интересней сочетание левых формальностей и трансмутации с самими ноутбуками изьятыми у Артимовича. В Питере где их изьяли их радостно упаковали в белый
пакет вместе совсем остальным скарбом Артимовича и отправили в Москву в СУ ФСБ, там их распаковали, уложили все предметы бывшие заодно в пакете, включая любимый IPAD Артимовича, в другой пакет, предварительно осмотрев с понятыми и приобщив к доказательствам по делу, а ноутбуки оставили в белом
пакете для дальнейшего осмотра. Далее понятые и следствие осмотрело уже ноутбуки - и тут их ждал сюрприз. Открыв белый
пакет с ноутбуками, оттуда БАМ (!) ….и выпал любимый IPAD Артимовича, уже осмотренный и лежащий в другом пакете. Это не смутило следователей, знакомых не по наслышке и с машиной времени и с трансмутацией, они просто осмотрели его второй раз и заново приобщили к доказательствам. Видимо это была милая «ведомственная» шутка оперативников - пока следователь парился с понятыми, опера телепортировали прикола ради над следователем именно IPAD из одного пакета в другой. Типа как в фильмах «ХА! Ты только посмотри на его лицо!».
Возможно следователь Дадинский С.С. все-таки проникся юмором оперативников и именно поэтому его неудержимо тут-же сорвало в будущее поскольку 27ого Июня 2011г он умудрился приобщить к доказательствам ноутбуки Артимовича им же осмотренные 29ого Июня 2011г.
Далее пакет с ноутбуками и пресловутый диск 5909 отправили на экспертизу в Лабораторию Касперского коей пакет когда поступил туда естественно и предсказуемо сменил свой цвет с белого на черный
- ведь именно такие маленькие фишечки любит «контора», поскольку иначе - теряется ореол магии.
Сотрудник Лаборатории Касперского юный Ануфриев мгновенно доказал, что абы кого не берут в Дозор. И не используя ни особых знаний, ни программ отладчиков, ни других прикладных инструментов сразу установил идентичность принципиально разных кодов между «ботом» Crypted.ex в ассемблере и исходными кодами найденными на ноутбуке Артимовича написанными на C++: http://dmitryart1985.livejournal.com/9061.html
Впрочем для реверс-инжиниринга поскольку он использовал недоступную смертным программу IDA Pro V.6 Datarescue это не вызывает удивления. Штука тут вот в чем. Начиная с версии 5 эту программу выпускает компания Hex-Rays, а не Datarescue. НО ЭТО ПОКА. ЛИШЬ ПОКА. В будущем возможно Datarescue и выпустит 6ую версию способную на такие трюки, а в будущее как вы уже поняли ЦИБ и их друзья ходят как к себе домой.
Самое неприятное во всей этой истории - это то, что не смотря на технологии о которых мы лишь читали в фантастике, ЦИБ умудрился забыть самые основные вещи - сам ботнет и ДДОС. Было бы существенно проще разобраться в том, что они видели в будущем и в настоящем, если бы пресловутая «админка» каким-либо образом была бы хотя бы осмотрена или изьята. Беда в том, что за исключением Лютикова и потом Волкова из Group-IB эту самую админку никто и не видел. Возможно она там, где-то на просторах сети пылится как потонувший корабль до сих пор. В конце концов - ну взяли бы с собой хоть понятых в путешествия по времени, тем более, что судя по месту смены места жительства одного из них (раз 10 менял) он ездил на вагончике вслед идущему 15 месяцев следствию и при необходимости клонировался, иногда клонировался сам следователь, объясниться по другому как они в разных местах находились одновременно оба весьма сложно, а они весьма настойчиво повторяли этот трюк снова и снова.
Или опять же сам ДДОС- можно ведь было наверняка взять логи или вообще я уж не говорю, исследовать ЭВМ тех кого хотя-бы ДДОСили, парадокс но факт - в деле вообще нет ни одного свидетельства, что этот ДДОС вообще был, и какой он был, поскольку по неизвестной причине, не смотря на то, что даже вышеупомянутый Господин Войтенко фамилии называл всех тех сотрудников АССИСТа кто видел атаку, не смотря на это, следствие упорно почему-то не считало нужным их опросить не говоря уж про осмотр места происшествия и ЭВМ потерпевших.
Зато теперь Лютиков и Ко, наверное получают массу удовольствия наблюдая как эти ребусы пытается решать простой районный Тушинский Суд и не простая Генеральная Прокуратура. Возможно между этими ведомствами ранее были конфликты поскольку иначе как «подложить свинью» это трудно объяснить.
Причем особую свинью им тут же всем подложил законодатель, которого видишь-ли не устраивал просто «незаконный доступ к охраняемой законом компьютерной информации» как состав статьи 272, поскольку лет 10 в итоге все бились в судах в попытках понять какая именно информация охраняется законом, а какая нет. Теперь в связи с последним изменением закона от Декабря 2011г, мы знаем точно какая - лишь та которая «в форме электрических сигналов». Точка. Это был сарказм. Опять точка.
Выводы.
Естественно было бы не справедливо оставить читателя мучиться в догадках, как такое возможно вообще, что юридически, что фактически. Действительно я лично, как лицо теперь особенно заинтересованное в практике отечественной юриспруденции, слышал много разного и интересного. Я слышал про коробку из-под вина, которая не продавалась в России, но через нее передавали взятку, как аргумент защиты - неудачный, про Лаодакийское Право, как объяснение правил поведений в Церковных Учреждениях,как аргумент обвинения - удачный, про голову которая поломалась от удара об асфальт, а совсем не от удара кулаком в оную, как аргумент защиты - удачный. И мне НЕ доводилось слышать об оперативниках путешествующих во времени и трансмутирующих доказательства. Другими словами, учитывая нашу объективную реальность, возникает вопрос - Джонни ла гента эста муй лока? Т.Е. Джонни что случилось?
Было бы несправедливо обвинять сотрудников ЦИБа в неумении путешествовать во времени. В самом деле - откуда Вам знать? Для того чтобы Вам читатель разбить аргументы циников, попробуем представить, как оно могло бы быть, если бы мы цинично отказывались им верить. Тогда можно было бы предположить, что судя по т.н. «скриншотам» справок из «админки» ботнета, кои зачем-то прилагаются в справках, а затем те же самые так же далее в мнении специалиста Group-IB, а так же они же в независимом исследовании ESET, в самом оном ботнете не было попросту никого из участвовавших лиц (!), включая компанию ESET которая провела замечательное независимое исследование ботнета. Можно было бы предположить, что у кого-то из этой обширной тусовки специалистов изначально были собственно сами скриншоты на основе коих незадачливые оперативники просто нарисовали бумажки по которым попытались пристегнуть к делу Артимовичей, используя факт наличия у Артимовичей интернета оформленного как у законопослушных граждан на свое имя. Именно поэтому компания НКС вдруг сошла с ума и в целый ЦИБ ФСБ России отвечала 2 месяца. Поэтому и сами файлы перехвата СОРМ стыдливо забыли приложить к делу. Внимательный читатель мог бы заметить в материалах, что гражданочка Соколова, иже бабушка сдававшая квартирку Артимовичам, кою квартирку они затопили-то, указывает, что уже в Сентябре 2010г Артимовичей то след и простыл, т.е. уехали они когда-то в Августе как раз когда оформляли СОРМ и возможно с тех пор они просто ни разу не совершили страшного преступления - оформления домашнего интернета на свое имя. Дети - не повторяйте это дома, никогда не оформляйте домашний интернет на себя! В общем, что это был за ботнет, почему именно его понадобилось пристегнуть именно к Артимовичам, но потом не изъять, остается лишь догадываться, а принимал ли он участие в атаке и была ли атака и подавно, и если исходить из исследования Group-IB - то нет, поскольку исследование делалось позже атаки и в ботнете были указаны адреса куда он ДДОСил и Аэрофлота/Ассиста весьма наглядно там как раз не было. Узнать точней, что случилось по существу на самом деле даже без учета формальностей не представляется возможным - не были изъяты ни логи серверов на которые предположительно шла атака на Ассисте, ни сервер который эту атаку координировал, ни один «бот» участвовавший в атаке, ни один лог ни одного провайдера, кто эту атаку видел. И ни один человек лично видевший атаку. И понятно, что за 3 года от атаки вряд-ли сохранились какие-либо следы оной.
Другой вопрос - что мудрые люди в ЦИБе весьма быстро сообразили, что 272ая статья, незаконный доступ - это из области фантастики по ДДОСам и имеет смысл лишь как издевательская пугалка, такая зачОтная жирная свинка для Генпрокуратуры и суда, в составе преступления. Куда проще 273ая статья, по которой вообще-то и идут ДДОСы, для доказательства которой ничего кроме Ануфриева и любого вируса на ноутбуке Артимовича не нужно.
В общем как бы там ни было, на мой взгляд 272ую никто и не расследовал и не делал по ней вообще документов поскольку в серьез ее доказывать никто и не собирался, а для 273ей статьи хватало просто Ануфриева - он сам ходячее доказательство, только дайте ему ноутбук.
Однако законодатель подбросил дровишек в костер следствия и 273ая уехала по срокам давности. И вот это конечно привело к настоящему феерическому маразму. Смешались люди, кони, адвокаты.
В самом начале я указал, что данная статья написана в поддержку некоторых сотрудников ЦИБ ФСБ. Нет - это была не шутка. Дело в том, что лишь ЦИБ ФСБ из наших печально известных коррупционностью органов по всей видимости работает в основном по старинке (т.е. и правда кого-то ловит), и поэтому именно ЦИБ ФСБ в отличие от наших остальных структур еще просто не овладели в совершенстве технологией фабрикацией материалов уголовных дел, что собственно и доказывается на лицо этой статьей, поскольку только люди, которые никогда ничего не фабриковали, могли умудриться столько всего натворить на 4.5 тома уголовного дела по ДДОС атаке. Других объяснений я не вижу. Поэтому остается только порадоваться успехам Центра Информационной Безопасности Федеральной Службы Безопасности наглядно доказавшей, что эта служба не то что ничего не фабрикует, а даже не умеет!
ФСБ РФ разоблачила коллегу только в 2016 году: почему? Фото: РИА Новости
Уголовное дело в отношении «анонимного интернационала» хакеров «Шалтай-Болтай» продолжает обрастать подробностями. В прессу информация просачивается очень дозированно. К примеру, 1 февраля ТАСС сообщил об арестованных еще в ноябре прошлого года шалтай-болтаевцах Александре Филинове и Константине Теплякове. В этот же день, 1 февраля, стало известно, что следователи предъявили обвинение в государственной измене сотрудникам Центра информационной безопасности (ЦИБ) ФСБ полковнику Сергею Михайлову, майору Дмитрию Докучаеву и главе отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслану Стоянову.
В то же время адвокат Иван Павлов сообщил, что у защиты нет данных о том, что хакерская группа «Шалтай-Болтай» имеет отношение к «шпионскому делу», возбужденному в отношении сотрудников Центра информационной безопасности ФСБ России. И это, видимо, правда.
Наши источники в ФСБ утверждают, что Управление собственной безопасности (УСБ) взяло в разработку Михайлова и Докучаева еще в конце 2015 года. Именно тогда была получена санкция директора ФСБ на тотальный контроль их телефонных разговоров, на установку прослушивающей аппаратуры в их рабочих кабинетах и квартирах, на отслеживание их выходов в интернет. В операцию были посвящены всего несколько человек.
Прокололись Михайлов и Докучаев в сентябре прошлого года, когда США обвинили владельца компании King Servers россиянина Владимира Фоменко в кибератаке на избирательные системы в американских штатах Аризона и Иллинойс, которая якобы была произведена с восьми серверов, шесть из которых принадлежат компании King Servers.
Наш источник утверждает, что проверка этих обвинений была поручена именно Сергею Михайлову. И якобы он подготовил справку с грифом «совершенно секретно, экземпляр единственный» на имя директора ФСБ Александра Бортникова. В этой справке якобы признавалось, что именно россияне произвели кибератаку на американские сайты.
Но поскольку Михайлов уже был под подозрением, проверку обвинений США проводило и другое подразделение ФСБ, имеющее отношение к кибербезопасности. Параллельное расследование показало, что Фоменко и его компания King Servers не причастны к преступлениям, в которых их обвинила американская пресса. Более того, спецслужбы США не проявили интереса к Фоменко, до сих пор нет международного ордера на его арест. В Алтайский край, где проживает IT-бизнесмен, потянулись только журналисты…
Между тем в тени «шпионской истории» осталась подробность, на которую, признаюсь, мы тоже первоначально не обратили внимания.
1 февраля в публикации «Меченый хакер» я написал о комментарии арестов офицеров ЦИБ ФСБ, выложенном на своем сайте KrebsOnSecurity.com крупнейшим специалистом США в сфере компьютерной безопасности Брайаном Кребсом.
В этом подробном комментарии Кребс опубликовал и скриншот электронного письма, написанного еще в сентябре 2010 года известным российским IT-бизнесменом, основателем и руководителем процессинговой компании Chronopay Павлом Врублевским. Переписка Врублевского была похищена в 2011 году. Тогда же она попала к Брайану Кребсу. Но обнародовал Кребс это письмо лишь 28 января 2017 года. Вот скриншот:
Скриншот письма Павла Врублевского 11 сентября 2010 года из переписки, взломанной в 2011 году
Получается, что еще в 2010 году у того же Павла Врублевского возникли подозрения, что Сергей Михайлов сотрудничает со спецслужбами США.
В 2011-м Кребс не стал обнародовать эту информацию. При этом очевидно, если бы в письме Врублевского была откровенная дезинформация, оно тут же появилось бы в открытом пространстве. Например, для дискредитации замруководителя ЦИБ ФСБ Сергея Михайлова. Но вместо этого началась кампания по дискредитации Павла Врублевского. С подачи Кребса за Врублевским закрепился статус «киберпреступника №1 в мире», а Сергей Михайлов инициировал в отношении Врублевского уголовное дело, по которому тот получил 2,5 года лишения свободы, которые отсидел в колонии в Рязанской области.
Остается вопрос. Если о связях Сергея Михайлова со спецслужбами США Павел Врублевский «догадался» еще в сентябре 2010 года, почему ФСБ разоблачила своего коллегу лишь в декабре 2016-го?
P.S.
Павел Врублевский от комментариев отказался.
Стали известны подробности чистки в Центре информационной безопасности (ЦИБ) ФСБ и тесно связанных с войсковой частью 64829 коммерческих структур «Лаборатория Касперского» (Евгений Касперский) и Group-IB (Илья Сачков). Агентство «Руспрес» информировало о серии конфликтов между руководителем ЦИБ Андреем Герасимовым и Управлением собственной безопасности (УСБ) ФСБ. Следствием аппаратных противоречий стали, в частности, арест, освобождение, повторный арест и судебный приговор по уголовному делу бизнесмена Павла Врублевского. Последний поддерживал неформальные отношения с УСБ, был осужден по материалам ЦИБ и привлеченных Центром специалистов Ильи Сачкова и Евгения Касперского .
Михайлов от ФСБ курирует кластер по информационной безопасности Российской ассоциации электронных коммуникаций. РАЭК возглавляет Сергей Плуготаренко . Координатор кластера и директор по стратегическим проектам Института исследований интернета Ирина Левова сообщила "Ъ", что на последнем совещании 12 декабря Михайлова не было, хотя прежде он всегда присутствовал. В том же кластер входит владелец Group-IB Илья Сачков - близкий знакомый Сергея Михайлова. Помимо Сачкова в кластере присутствуют сотрудник Group-IB Игорь Подлесный, а также Андрей Ярных и Дарья Лосева - работники «Лаборатории Касперского».
Отдел расследования компьютерных инцидентов "Лаборатории Касперского" сотрудничал с ФСБ, осуществляя в том числе анализ киберпреступлений и экспертизу по уголовным делам. Руслан Стоянов до 2006 года служил в управлении специальных технических мероприятий ГУВД Москвы (управление "К"). Другие сотрудники отдела - тоже выходцы из управления "К", а также из Следственного комитета РФ. "Стоянов известен как человек, который умеет выстраивать неформальные контакты. Думаю, что в "Лаборатории Касперского" после этого инцидента подумают о необходимости построить более формальные отношения с ФСБ", - уверен журналист Андрей Солдатов.
«Царьград» пишет, что за «Шалтай-Болтаем» может стоять ЦРУ, а следовательно, и Михайлов мог сотрудничать с разведуправлением США. Во всяком случае, офицеру инкриминируется не должностное или коррупционное преступление, а именно государственная измена (ст. 275 УК РФ), предусматривающая до 20 лет лишения свободы.
О Сергее Михайлове я впервые услышал в 2012 году, когда проводил журналистское расследование об уголовном деле в отношении основателя и гендиректора процессинговой компании Chronopay Павла Врублевского. Бизнесмен тогда обвинил Михайлова в фабрикации уголовного дела.
Позже, в ходе процесса в Тушинском райсуде, Сергей Михайлов, допрошенный в качестве свидетеля, подтвердил свое многолетнее знакомство с Врублевским: «Врублевский - талантливый человек, который был интересен нам своими связями...».
Тушинский райсуд приговорил Врублевского к 2,5 годам лишения свободы. Срок он отбывал в одной из колоний в Рязанской области. Вернувшись в Москву, бизнесмен снова занялся оперативным управлением компании Chronopay [...] В сентябре прошлого года фамилия Павла Врублевского снова всплыла в информационном пространстве, когда США обвинили владельца компании King Servers россиянина Владимира Фоменко в кибератаке на избирательные системы в американских штатах Аризона и Иллинойс, которая якобы была произведена с восьми серверов, шесть из которых принадлежат компании King Servers. Фоменко, в свою очередь, арендовал эти серверы у голландской компании, контролируемой именно Врублевским.
[...] Управление собственной безопасности спецслужбы еще в сентябре начало служебную проверку и в декабре якобы пришло к выводу, что информацию о King Servers, Фоменко и Врублевском американская разведка получила от начальника 2-го оперативного управления Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова. Тут же были произведены аресты...
На сегодняшний день, по нашим сведениям, вместе с Сергеем Михайловым и сотрудником «Лаборатории Касперского» Русланом Стояновым арестованы еще два человека. В том числе коллега Михайлова, офицер Центра информационной безопасности ФСБ.
****
Офицер ЦИБ ФСБ Дмитрий Докучаев - он же киберпреступник Forb
Третий подозреваемый - сотрудник Центра информационной безопасности ФСБ России Дмитрий Докучаев. Докучаев был арестован в декабре 2016 года. Знакомый Докучаева подтвердил информацию об аресте. Другой его знакомый сообщил, что не видел Докучаева с конца ноября.
[...] Дмитрий Александрович Докучаев занимал должность старшего оперуполномоченного 2-го отдела оперативного управления Центра информационной безопасности (ОУ ЦИБ) ФСБ России. [Для многих он был известен как Forb или ранее - Forbik; в начале "хакер" (пока жил в Екатеринбурге и не перебрался в Москву), потом - "около-кардер"; а уже позже, после взлома - как сотрудник ФСБ - прим. Sporaw].
Докучаев Дмитрий aka Forb
Хакер, номер #080, стр. 080-048-1
(Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.)
Почитав саму статью, уже не остается никаких сомнений насчёт того, что Докучаев Дмитрий Александрович, известный под ником Форб, так же является и саппортом официального впн-сервиса форума maza.la.
Далее чуть погуглив выходим на блог, который имеет непосредственное отношение к нему, листаем чуть вниз, и видим то самое лицо, которое видели и на http://tim.ustu.ru, забавное совпадение не правда ли?
читаем блог, находим данную строчку в одном из постов: «Заняться какой-нибудь борьбой, САМБО вспомнить, например... Или еще чего-то в этом роде»
[...] Ну а теперь самое интересное. Полистав отчёт пинча, в сохранённых формах IE мы видим два логина, неизвестно куда. Вот они:
Name:admin
Pass:fsb2otdel
ещё немного гуглим и находим интересную ссылку: http://www.police-russia.ru/showthread.php?t=13221
листаем вниз, и видим: Forb Член клуба. Не слишком ли много совпадений?
P.S Кстати, как только кто-то инфу выложил на верифе, тему быстро удалили – делаем выводы.
Небольшое лирическое отступление: если в 2007-м, по-моему мнению, ФСБшников интересовал лишь один конкретный комментарий, но в запросе они упомянули несколько (предполагаю, для маскировки), то в 2011-м никакой попытки скрыть свой интерес не было. Тут же попросили предъявить автора одного-единственного текста. Могу это объяснить лишь возросшей наглостью или снизившимся профессионализмом.
Очень меня заинтересовал такой интерес к абсолютно проходному и абсолютно неинсайдерскому тексту (в отличие, например, от информации о новом логотипе ОК, который на "Роем" слили за два месяца до выкатки на публику): дело в том, что сведения об иске Миронова к Широкову были абсолютно публичны, находились на сайте савеловского суда и, более того, из текста выложенного на Roem.ru на конкретную страницу савёловского суда была поставлена ссылка, как на источник информации. Очевидно было, что никаких санкций за распространение информации из открытых источников быть не может, то есть, ФСБ просто любопытно, кто же это пишет про руководителя "Одноклассников".
На этом месте я попросил от собеседника из ФСБ хоть сколько-нибудь официальный запрос, ожидая, что здесь наша беседа и прервётся: любопытство любопытством, но можно было ожидать, что бумажных следов никто оставлять не захочет. Но, к моему удивлению, с
Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
мне быстро прислали скан запроса с номером ОУ/2-368/4-Б от 28-го апреля 2011-го года, при этом уже с нормальной печатью и подписью все того же руководителя ЦИБ Сергея Михайлова, в ответ на который я быстро ответил, что автором данного текста являюсь я (это правда, тут отсутствие логов не помогло, а пытаться что-то скрывать было незачем). Другой вопрос, как я нашёл информацию об этом иске на сайте Савёловского суда, но это останется типа тайной. Подозреваю, что те, кого этот вопрос действительно интересовал, имеют достаточно небольшой круг "подозреваемых" - где-то 200 человек читающих внутреннюю рассылку "Одноклассников".
Who watches the watchmen
Ну а дальше, имея на руках бумажку, можно было действовать. В первую очередь ушёл запрос в управление собственной безопасности ФСБ [в том же 2011 году УСБ возглавил Сергей Королев , до и после этого управление находилось под влиянием Олега Феоктистова ]. Спрошено было следующее: что за ерунда происходит и не ради каких-либо корпоративных или частных интересов работает ФСБ? Ответ от УСБшников [в действительности ниже приводится ответ сотрудника ЦИБ ФСБ Лютикова , что очевидно из содержания документа] пришёл безрадостный:
Ответ замначальника оперативного управления ЦИБ ФСБ Лютикова
«Благодарим за оперативный ответ на наш запрос, направленный на адрес Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. . Ваша информация позволила нам установить первоисточник публикуемых на Вашем сайте материалов.
Также благодарим за проявленную бдительность и направление обращения на адрес Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. и в Управление собственной безопасности ФСБ России (Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.).
Подтверждаем легитимность запроса № ОУ/2-368/4-Б, а также сообщаем, что он носит справочный характер и не использовался в личных или корпоративных целях.
Подпись: Первый заместитель начальника Управления А.И. Лютиков»
Разбирать это письмо особого смысла нет. Стоит только заметить, что УСБ в ФСБ мышей не ловит, что в дальнейшем будет ясно из ответа прокуратуры, куда был отправлен такой же запрос (его немного пофутболили между прокуратурой простой и областной, потом отправили в Генпрокуратуру - именно она контролирует ФСБ), но ответ пришел диаметрально противоположный: ФСБ нарушило закон "Об оперативно-розыскной деятельности":
Ответ старшего помощника Юрия Чайки
«Ваше обращение о проверке правомерности действий сотрудников ФСБ России по истребованию сведений о пользователе проекта www.roem.ru рассмотрено.
В ходе проверки установлено, что сотрудники Центра информационной безопасности ФСБ России допустили нарушения требований ст. 7 Федерального закона "Об оперативно-розыскной деятельности".
По результатам проверки руководству Центра информационной безопасности ФСБ России указано о недопустимости нарушений закона
Старший помощник генерального прокурора Российской Федерации В.В. Сизов»
[Руспрес: Вячеслав Викторович Сизов с 2006 года возглавлял управление Генеральной прокуратуры РФ по надзору за исполнением законов о федеральной безопасности. 22 июля 2011 года, спустя три недели после отправки Юрию Синодову письма о проверке ЦИБ ФСБ прокурор Сизов застрелился в служебном кабинете Генеральной прокуратуры]
В этой статье 7 закона об ОРД говорится об очень простых вещах: об основаниях для проведения оперативно розыскной деятельности. Раз ЦИБ ФСБ ее нарушил, значит ни единого основания для рассылки запросов не было. Да и не могло быть.
Кому выгодно?
Точнее, почему вообще возник этот запрос от ЦИБа? Это хороший вопрос и ответ может быть не так очевиден. Естественно, что в каждой крупной компании должен быть безопасник. Желательно из околоайтишных органов, чтобы у него были связи, если что. Обычно это дядечка пред- или запенсионного возраста, со среднего размера брюшком и пиджаком. Не исключаю, что такие дядечки могут быть в личной охране людей, упомянутых в заметке, ставшей объектом интереса ФСБ. С вероятностью близкой к ста процентам такой дядечка есть в штате компании "Одноклассники", косвенно причастной к иску [Андрея] Миронова к [Илье] Широкову, и в штате Mail.ru Group [основной акционер - Алишер Усманов ].
Могли эти компании заинтересоваться, кто пишет на Roem.ru про Широкова и логотипы "Одноклассников"? Могли. Им инсайдеры не особо нужны.
Могли спросить об этом меня? Могли, но ответа бы не получили.
Могли спросить об этом через ФСБ, которому не ответить сложно? Получается, раз никаких оснований для вопросов по поводу автора не было, а вопрос из недр ФСБ возник - могли. А спрашивали ли? Не знаю.
[...] Происходят все эти левые запросы очень давно и ничего в этой области не меняется. Я предполагаю, что они были до 2007-го года и не прекращались до 2011-го. В мой адрес они идут от одного и того же отдела, одного и того же руководителя - Сергея Михайлова. Два раза из двух - это какой-то левак. То генпрокуратура левак найдёт, то на запрос лепят какие-то мутные печати "для пакетов".
Насколько я знаю, Михайлов вполне адекватен, а сам ЦИБ занимается не только тем, что на Roem.ru альтерэг ловит. Но то, что ЦИБ под его руководством несколько лет "ещё и шьёт" саму спецслужбу дискредитирует.
