Kingpin

Глава 16. «Операция Фаервол»

Что-то странное происходило с ShadowCrew.

Макс старался не светиться на одном из самых криминальных сайтов во всем интернете. Для него ShadowCrew была лишь площадкой, где можно было взломать пару-тройку кардеров. Однако, в мае 2004 года, администратор сайта сделал заявление, которое привлекло внимание Макса. Админ Cumbajohnny представил новый VPN сервис только для участников сайта.

VPN — виртуальная частная сеть, используется для обеспечения удаленного доступа к сети поверх другой сети. Например, доступ сотрудника из дома к офисной сети компании. Но основной причиной появления VPN сервиса стала возможность шифрования данных, передаваемых через эти сети. Для подполья это был идеальный вариант, чтобы обезопасить свои сделки от любопытных провайдеров или правоохранительных органов, так как любые попытки отследить криминальную деятельность закончатся там же, где начнутся.

Cumbajohnny был последним прибавлением в руководстве, — бывший модератор быстро поднялся в иерархии сайта и стал иметь влияние на настроение форума. Другие админы даже отметили увеличение активности пользователей на форуме. Наверху сайта висели баннеры: «Хватит болтать, делай деньги. Размещай рекламу здесь. Свяжись с Cumbajohnny.» ShadowCrew стал похож на вывеску в Лас-Вегасе: вспыхивающие баннеры, обещающие вечную вечеринку, женщин и кучу денег.

Gollumfun, известный основатель, публично заявил о своем уходе от дел ShadowCrew, когда другой основатель BlackOps также собрался уходить. Он написал: «Будучи прекрасной площадкой, ShadowCrew унизительно пал в окружении детей, которые не ценят знания, навыки и общение с другими членами сайта в позитивном ключе. Сгинули те продуманные тьюториалы, исчезли многоуважаемые пользователи, исчезла цивилизация. Мы больше не будем помогать новичкам искать их призвание, отныне мы будем позорить их, пока они не уйдут с сайта, пока не поймут, что новых пользователей нет и не будет. BlackOps, тебя будет не хватать. Спасибо за твой вклад.» Cumbajohnny ответил весьма кратко: «ShadowCrew меняется. Это к лучшему.»

Макса не особо заинтересовали перемены на политической арене сайта, но появление VPN его весьма озадачило. Оказалось, что Cumbajohnny продавал услуги его личной VPN верхушке ShadowCrew в течение трех месяцев. Теперь же Cumbajohnny писал, что любой член ShadowCrew, не имеющий штрафов, может купить кусочек спокойствия за 30-50 долларов в месяц.

Однако хорошо известно, что VPN сети имеют одно слабое место — все, что передается по сети, проходит через центральную точку в незашифрованном и уязвимом виде. Как заметил один из участников форума: «Если ФБР или кто-то, кому очень нужно получить данные, попадет в датацентр и изменит некоторые настройки VPN сервера, то пользователям этого сервера придется несладко.» «Но это просто паранойя». — признался он.

Cumbajohnny поспешил его успокоить: «Никто не сможет ковыряться в VPN без моего ведома».

Максу эти сообщения показались не убедительными. Будучи белой шляпой, он как-то он писал программу для проекта Honeynet, называемую Privmsg. Это был скрипт на PERL, который брал данные из сниффера пакетов данных и восстанавливал на их основе IRC-чат. Когда злоумышленник начинал взлом одной из ловушек honeypot‘а, он старался поддерживать связь с другими хакерами. Посредством программы Макса PRIVMSG специалисты могли видеть всю эту переписку. Это было сильным прорывом в борьбе с хакерами, превращая пассивные honeypot‘ы в мощные ловушки, проливая свет на мотивы и культуру подполья.

В данный момент Макс наблюдал ту же картину с перехватом данных в предложении Cumbajohnny. Были и другие причины подозревать Cumbajohnny. Как-то, взламывая случайных кардеров, Макс увидел сообщение, отправленное администратору ShadowCrew, которое выглядело как инструкция для информатора федерального агентства. Что-то подсказывало Максу, что изменения с ShadowCrew превратили сайт в новый Honeypot. После обсуждения своих догадок с Крисом Макс запостил несколько сообщений на форуме, высказав свои подозрения. Сообщения исчезли сразу же. Подозрения Макса подтвердились.

Полиция Нью-Йорка поймала Альберта Cumbajohnny Гонзалеса девять месяцев назад, когда он снимал деньги в банкомате на Uper West Side. Родом из Майами, Гонзалес был 21 летним сыном двух кубинских иммигрантов. Долгое время он занимался взломами, решившись однажды посетить Def Con в Вегасе в 2001 году. Общаясь с Гонзалесом в заключении, Секретная Служба быстро сообразили о полезности Cumbajohnny. Альберт жил садовом домике Кирни за 700 долларов в месяц, имел долг в 12000 долларов и официально числился безработным. Но как Cumbajohnny он был доверенным лицом и коллегой у кардеров по всему свету и, что самое главное, модератором в ShadowCrew. Он был в логове зверя и, подготовившись должным образом, он мог нанести сокрушительный удар по форуму.

Под свою ответственность Секретная Служба освободила Гонзалеса и стала использовать его в качестве информатора. VPN была мастерским трюком агенства. Оборудование было куплено и оплачено федералами, и они же получили ордеры на перехват данных всех пользователей сайта. Cumbajohnny всего лишь приглашал кардеров на этот паноптикум.

Крупные игроки ShadowCrew сразу же попали под наблюдение Секретной Службы. Дырявая VPN обнажила весь процесс кардинга, который до этого оставался в тени — жесткие переговоры, которые велись посредством электронной почты и мессенджеров.

Каждый день и каждую ночь проводились какие-либо сделки, со всплеском торговли по воскресным вечерам. Сделки варьировались от маленьких до гигантских. 19 мая агенты наблюдали за трансфером Скарфейса и другим членом сайта на 115695 кредитных карт; в июле АПК передал поддельный Британский паспорт; в августе Mintfloss продал поддельные Нью-Йоркские водительские права, карточку медицинской страховки и студенческий билет городского университета Нью-Йорка человеку, который запросил полный набор документов. Несколько дней спустя прошла еще одна сделка Скарфейса — в этот раз всего две кредитки; после МАЛпадре купил сразу девять. В сентябре Дэк продал свои наработки в виде базы 18 миллионов взломанных e-mail адресов, которые содержали имя, пароли и даты рождения пользователей.

На Секретную Службу работало пятьдесят агентов, которые отслеживали каждую транзакцию на сайте, подготавливая обвинительную базу. Однако, хуже всего было то, что большая часть обитателей ShadowCrew платила за то, чтобы их отслеживали агенты Секретной Службы.

Вскоре агенты узнали, что в их, казалось бы, продуманной операции против хакеров, были пробелы. 28 июля 2004 года Гонзалес сообщил своим нанимателям, что кардер под ником Myth, один из кешеров Короля Артура, каким-то образом раздобыл один из секретных документов Агентства, в котором описывалась операция Фаервол. Myth сразу же похвастался этой новостью в IRC-руме.

Федералы приказали Гонзалесу как можно быстрее найти источник утечки. Гонзалес связался с Myth под своим ником и узнал, что озвученные документы лишь капля в море утекших данных Секретной Службы. Myth также рассказал, что в отношении ShadowCrew велось уголовное дело, рассказал даже о том, что агентство имело свой ICQ аккаунт.

К счастью для Гонзалеса, в документах не упоминалось об информаторе. Myth отказался выдавать Гонзалесу свой источник, но согласился организовать встречу. На следующий день Гонзалес, Myth и таинственный хакер, использовавший временный ник «Anonyman», встретились в IRC. Гонзалес старался изо-всех сил, чтобы заслужить доверие Anonyman, прежде чем хакер раскрыл свою личность.

Это был Ethics, поставщик, которого Cumbajohnny уже знал по работе на ShadowCrew. Утечка начинала обретать очертания. В марте Секретная Служба замечала, что Ethics продавал доступ к базе данных крупного оператора сотовой связи T-mobile. Он писал на форуме: «Я предлагаю доступ к информации о клиенте по номеру оператора T-Mobile. Как минимум вы получите имя, номер социального страхования и дату рождения клиента. Как максимум вы получите логин и пароль для выхода в интернет, пароль голосовой почты и секретный вопрос/ответ.»

T-Mobile не смогли исправить критическую брешь в защите приложения сервера, которое было куплено в Сан-Хосе у компании БЕА Системс. Дыра, которую обнаружили сторонние исследователями, была до обидного проста для использования — недокументированная функция позволяла удалять или изменять файлы в системе путем подачи специального веб-запроса. БЕА выпустила патч для этого бага в марте 2003 года и присвоила ему рейтинг высокой опасности. В июле того же года исследователи, которые обнаружили дыру, выступили с докладом на Сборе Black Hat в Вегасе по поводу этого бага. Таким образом, пре-Def Con собрала 1700 специалистов в области защиты информации и руководителей корпораций, дала новый виток информации о бреши в защите T-Mobile.

Ethics узнал о дыре БЕА, написал 21 эксплоит на Visual Basic и начал сканировать интернет на наличие потенциальных жертв, кто не смог или забыл пропатчить приложения. К октябрю 2003 года он окунул T-Mobile в грязь. Ethics написал приложение, при помощи которого мог в любой момент обращаться к базе клиентов.

Для начала он использовал свой доступ для получения данных звезд Голливуда. Ему удалось получить откровенные фото Пэрис Хилтон, Деми Мур, Эштона Катчера и Николь Ричи, украденные из их коммуникаторов. Теперь было очевидно, что скоро и он станет помощником Секретной Службы.

Простой поиск в гугле по ICQ номеру Ethics выдал его настоящие имя, указанное в резюме 2001 года при поиске работы в сфере компьютерной безопасности. Это был Николас Якобсен, 21 летний орегонец, который переехал в Ирвин, штат Калифорния, чтобы работать сисадмином. Все, что нужно было Секретной Службе для предъявления обвинений Якобсену, — важная информация на его коммуникаторе.

Здесь Гонзалес снова показал себя во всей красе. Теперь, будучи в приятельских отношениях с Cumbajohnny, Ethics заинтересовался VPN сервисом лидера ShadowCrew, объясняя это тем, что при помощи виртуальной сети он сможет безопаснее использовать базу T-Mobile. Гонзалес с радостью согласился помочь, и его хозяева из Секретной Службы начали наблюдать, потирая руки, как Ethics бродит по базе данных T-Mobile, используя логин и пароль агента Петра Кавиччиа III, ветерана борьбы с киберпреступностью, который прославился благодаря аресту сотрудника AOL, на краже 92 миллионов e-mail‘ов клиентов для продажи спаммерам.

Утечка была найдена. Кавиччиа спокойно ушел в отставку три месяца спустя, а Ethics был добавлен список целей операции «FireWall». Была еще одна угроза расследованию и, как ни странно, исходила она от одного из активов ФБР.

Дэвид Томас — мошенник по жизни, обнаружил криминальный форум в Фальшивой библиотеке и вскоре стал одним из жуликов в криминальном сообществе. Теперь 44 летний Эль Мариачи, как он себя называл, был одним из самых уважаемых членов в сообществе кардеров, взяв на себя роль наставника для молодых мошеников, раздавая советы на все случаи, начиная кражей личных данных и заканчивая уроками жизни, которые он получил, живя на окраине.

Однако его опыт не помог ему избежать опасностей его профессии. В октябре 2002 года Томас показался в парке возле офиса в Исаква, штата Вашингтон, где он и его напарник арендовали убежище для одного из основателей CarderPlanet. Они надеялись получить 30 000 долларов товарами в Outpost.com по заказу Украинца. Но вместо этого их ждала местная полиция.

Арестовав Томаса, детектив зачитал ему его права и дал ему бумагу для подписи, подтверждающей, что он их понял. От одной мысли о том, что местный коп пытается допросить его, Томас рассмеялся. «Вы не знаете, кого вы взяли». Томас просил детектива позвонить федералам. Секретная служба должна была знать, кто такой Эль Мариачи, который может дать им дело о русских и «миллионах долларов».

Секретная Служба навестила его в окружной тюрьме, но не была впечатлена его бизнесом на 30 000 долларов. Затем появился агент из местного отделения ФБР в Сиэтле. На вторую встречу агент привез с собой помощника прокурора США и предложение — федералы не могут помочь Томасу в его местном аресте, но когда Томас выйдет из тюрьмы, он сможет работать в Северо-Западной целевой группе по расследованию кибер-преступлений.

Это была бы разведывательная миссия, официальное название для операции ФБР без предварительных целей. Бюро выделило бы Томасу новый компьютер, поселило бы его в роскошных апартаментах, оплачивало бы все его расходы и давало 1000 долларов в месяц на карманные расходы. Взамен Томас должен был собирать информацию о подполье и сообщать все новости целевой группе.

Томас ненавидел стукачей, но ему нравилась идея получать деньги за возможность наблюдения и комментирования подполья, которым он был одержим. Однако сбор информации это не доносительство, так он считал. Он мог использовать материал, который соберет, чтобы написать книгу о кардинге, о чем-то, о чем он думал очень много в последнее время.

Также он определенно знал, как собирать информацию и о самой целевой группе.

Томас вышел из тюрьмы спустя пять месяцев после ареста. А в апреле ФБР получило новый актив в войне с киберпреступностью — Эль Мариачи и его совершенно новый, финансируемый государством форум, названный Grifters (Кидалы).

Живя на проплаченой бюро квартире в Сиэтле, Томас очень скоро собрал достаточно информации о его братьях-кардерах, в особенности из Восточной Европы. Хоть Томаси работал на ФБР, не ощущал родства с другими государственными органами, и появление новостей о VPN сервисе подсказало ему верно — Cumbajohnny был информатором федералов.

Томас зациклился на разоблачении его конкурента. Игнорируя предписания его куратора из ФБР, он постоянно выкрикивал имя Гонзалес на форумах. Гонзалес тоже в долгу не оставался, он нашел копию полицейского отчета об аресте Томаса и разослал ее кардерам Восточной Европы, обращая внимания на строки, где Томас предлагал помощь в поимке русских. Из-за войны двух информаторов началась масштабная война между ФБР и Секретной Службой.

Это было неподходящее время для недовольства западных европейцев американской драмой кардеров. В мае 2004 года один из украинских основателей CarderPlanet был экстрадирован в США после ареста на отдыхе в Тайланде. В следующем месяце Британская национальная полиция переехал в Лидс, на сайт для англоязычных администраторов.

Скрипт, которого допекало ФБР из округа Орандж и Американская почтовая инспекция, смылся с сайта, оставив во главе Короля Артура. 28 июля 2004 года Король сделал заявление.

Он написал: «Пришло время сообщить вам плохие новости — форум должен быть закрыт.» «Да, это действительно означает закрытие и тому есть много причин.»

На ломаном английском он объяснил, что CarderPlanet стал магнитом для правоохранительных органов со всего света. Когда кардеры попадались, полиция выбивала из них факты о форуме и его лидерах. Под постоянным давлением он мог ошибаться. «Мы все просто люди и каждый из нас может совершать ошибки.»

Закрыв сайт CarderPlanet, он лишит его врагов самого жирного куска.

«Наш форум хорошо их подготовил, постоянно держа в форме и сообщая обо всех новинках в мире подполья. Теперь всё будет одинаковым. Они не будут знать, откуда дует ветер и что с ним делать», — сказал Артур.

С этой прощальной речью Король Артур, десятикратный миллионер, стал легендой кардеров. Его будут помнить как человека, который аккуратно вынашивал великий CarderPlanet прежде, чем кто-либо другой смог получить удовольствия от его разрушения.

Лидерам ShadowCrew повезло меньше. В сентябре ФБР махнуло рукой на операцию с Томасом и дало ему месяц для выезда с квартиры и завершения его войны с Cumbajohnny. В следующем месяце, 26 октября, шестнадцать агентов Секретной Службы собрались в командном центре Вашингтона, готовые начать Операцию «FireWall». Их цели были отмечены на карте США, заполняющей экраны компьютеров. Агенты знали, что каждая их жертва должны быть дома, — по приказу Секретной Службы Гонзалес назначил онлайн встречу на этот вечер, и никто не отказал Cumbajohnny.

В девять вечера агенты, вооруженные полуавтоматическими MP5 ворвались в дома членов ShadowCrew, схватив трех основателей, хакера Ethics и шестнадцать других покупателей и продавцов. Это была самая большая облава на воров в американской истории. Два дня спустя федеральное жюри вынесло шестьдесят два обвинительных приговора, а Министерство Юстиции выступило перед публикой с информацией об Операции «FireWall».

«Этот приговор поразил самое сердце организации, которая позиционировала себя как универсальный рынок для воров персональных данных», — хвастался прокурор Джон Эшкрофт. «Министерство юстиции стремится ловить тех, кто занимается кражей или мошенничеством с данными независимо от того, в интернете они или нет.»

С помощью Гонзалеса Секретная Служба заблокировала оставшиеся 4000 пользователей сайта и заменило домашнюю страницу на баннер Секретной Службы в виде решетки. Новая страница содержала новый слоган «Вы больше не анонимны!!»

В панике кардеры по всему миру начали читать новости и смотреть телевизор в поисках информации, так как были обеспокоены за свое будущее и за будущее земляков. Они собрались на маленьком форуме, названном Стелс Дивижн, чтобы оценить ущерб и принять оставшихся. «Я боюсь до смерти за мою семью, за моих детей», — написал один из кибер-преступников. «Я только что осознал, что каждый мой шаг отслеживался».

Постепенно оставшиеся участники сайта поняли, что Cumbajohnny не был в списке обвиняемых. Вот тогда-то он и появился в сети, чтобы сделать финальное заявление.

«Я хочу, чтобы каждый знал, что я в бегах и я не имею ни малейшего представления, откуда у Секретной Службы США была возможность сделать то, что они сделали. Из новостей я узнал, что они получили доступ к VPN и к ShadowCrew. Это мой последний пост, удачи.»

Ник Якобсен, Ethics, не был допущен к пресс-релизу и удерживался в Лос-Анджелесе. После того, как агентство собрало все награды за Операцию «FireWall», Ethics было предъявлено обвинение за взлом электронной почты Секретной Службы. И все равно это была чистая победа для правительства. CarderPlanet был закрыт, ShadowCrew закрыт навсегда, их лидеры, кроме Гонзалеса, в тюрьме.

Кардеры были ошарашены, обессилены и на данный момент лишены убежища. «Уйдут десятки лет, чтобы в интернете появилось нечто, подобное ShadowCrew. И даже если такое появится, сила правосудия снова победит это. А зная, какая расплата последует за этим преступлением, я сомневаюсь, что кто-то рискнет начать новое дело.»