Банды в сети Интернет: Shadowcrew
Организованная преступность прочно обосновалась в сети Интернет. Действуя скрытно и анонимно в киберпространстве, группировка Shadowcrew и ей подобные наносят значительный ущерб компаниям, которые долгие годы работали над созданием своей репутации и старались заслужить доверие клиентов, совершающих сделки и финансовые операции онлайн. За последние два года существования банды Shadowcrew, которая насчитывала около 4000 членов, по данным американских спецслужб, она успела продать более полутора миллионов номеров кредитных карт, 18 миллионов адресов электронной почты и паролей доступа к ним, а также огромное количество других идентификационных документов — от паспортов и водительских удостоверений до студенческих билетов. Продажная цена за единицу подобного товара обычно не превышала $10. Среди десятков крупных компаний, пострадавших от деятельности Shadowcrew, числятся MasterCard Inc. и Bank of America Corp. Многие кредитные карты, номера которых были проданы через сайты преступников, в дальнейшем были использованы для оплаты товаров и услуг. В результате настоящие владельцы украденных счетов и банки понесли убытки на сумму более $4 млн. Если бы банду Shadowcrew не удалось обезвредить, потери от ее деятельности сегодня составляли бы сотни миллионов долларов.
Shadowcrew — это высокоорганизованная профессиональная преступная группировка, которая, в отличие от американской мафии и русских преступных синдикатов, существовала и действовала исключительно в виртуальном пространстве. Ее члены знали друг друга только по компьютерным кличкам, альясам, связывались и общались через сеть Интернет и совершали преступления в темных закоулках киберпространства. Виртуальный электронный рынок, сайт Shadowcrew.com, на котором они предлагали краденый товар, мог быть развернут и размещен в любом месте Сети, на сервере, который мог находиться в любой стране, с помощью всего нескольких команд с клавиатуры компьютера, а потом так же быстро перемещен на другой сервер. Излюбленными местами парковки сайта были Россия, страны Восточной Европы и Китай. Через свой сайт члены преступного сообщества осуществляли сделки по продаже оборудования и заготовок для изготовления фальшивых документов и кредитных карт, медицинских рецептов на покупку наркотических веществ, кокаина, созданию и распространению вредоносного ПО и производству сетевых DDoS (Distributed Denial of Service) атак. По данным Федеральной Торговой Комиссии США, за 2004 год с использованием похищенной или полученной мошенническим путем банковской и личной информации было приобретено товаров и услуг на сумму $52 млрд. Это только прямые убытки банков и компаний, занимающихся электронной коммерцией, от действий киберпреступников. Но еще большую сумму составляет ущерб, который невозможно подсчитать — он связан с потерей репутации и снижением доверия клиентов. Интернет постепенно перестает быть безопасным местом для обычного общения, не говоря уже о передаче по Сети любой конфиденциальной информации. Если так широко и открыто при помощи массовых рассылок и на интернет-сайтах рекламируются предложения по продаже краденых номеров кредитных карт, то кто может быть уверен, что среди них не окажется его собственной кредитки? Если в ресторанах "МакДональдс" начнут готовить самые вкусные блюда и продавать по самым низким ценам, но на парковке перед входом вас будут грабить, кто-нибудь пойдет в такой ресторан? Один из самых популярных способов хищения номеров кредитных карт и личной информации — фишинг — рассылка писем с целью заманить ничего не подозревающую жертву на сайт, который выглядит как сайт банка, но создан мошенниками для сбора личных и финансовых данных. В результате экспансии фишинга и других видов мошенничества с использованием сети Интернет покупатель становится все более осторожным, он неохотно вводит номер своей кредитной карты даже на легальном сайте интернет-магазина, избегает отвечать на электронные письма. Стремительно падает доверие пользователей к электронной почте. Anti-Phishing Working Group — некоммерческая организация, которая пытается противостоять распространению фишинг-афер в Сети, — подсчитала, что ежедневно мошенниками рассылается от 75 до 150 миллионов писем, большая часть которых — результат работы организованных преступных группировок. Такая активность криминальных структур негативно влияет на состояние и рост электронной коммерции. За последние 5 лет интернет-коммерция (по данным International Data Corp.) выросла на 30%, за 2004 год покупатели всего мира потратили на покупки онлайн более $300 млрд. Но если сомнения клиентов виртуальных торговых площадок по поводу безопасности использования электронных платежей, ввода идентификационных данных и номеров кредитных карт не будут развеяны, то к 2007 году онлайновую экономику ожидают весьма мрачные перспективы. Тревоги пользователей небеспочвенны. В результате только одной атаки преступников на сервер компании ChoicePoint было похищено 144.778 учетных записей с данными клиентов, их финансовой информацией и номерами карточек социального страхования. Более 700 из них позднее были использованы и модифицированы преступниками.
Возглавляли преступную группу Shadowcrew около двух десятков несомненно умных, технически грамотных и очень осторожных людей. Долгое время они успешно нарушали законы, скрываясь за кличками вроде BlackOps и Kingpin. Чтобы их было труднее выследить, члены группы обменивались сообщениями через цепочки анонимных прокси-серверов и шифровали свою почту. Никакие силовые структуры — даже Сикрет Сервис — не могли перехватить и прочитать эту информацию. Киберпреступники чувствовали себя неуловимыми и недосягаемыми. Но в 9 часов вечера 26 октября 2004 года банду Shadowcrew ожидал сюрприз. Спецслужбам все же удалось установить контроль над деятельностью преступников и получать сведения об их активности в течение года благодаря информатору, внедренному в эту организацию. Он администрировал один из серверов группы и оказал неоценимую помощь в раскрытии Shadowcrew. В этот осенний дождливый вечер Эндрю Мантовани, Дэвид Эпплъярд, Брэндон Мончемп и еще несколько десятков членов Shadowcrew спокойно сидели за клавиатурой своих компьютеров, ничего не подозревая и занимаясь обычным делом, обсуждали, как выгоднее и быстрее продать номера ворованых кредитных карт или поддельные документы. В процессе расследования деятельности банды агентству удалось установить контроль над одним из серверов и участком виртуальной частной сети, который активно использовался членами Shadowcrew для общения. Как только поступало новое сообщение, специалисты из Сикрет Сервис перехватывали и IP-адрес компьютера его отправителя. По этому адресу они устанавливали провайдера, которому он принадлежит, место нахождения и имя клиента, получившего этот адрес для сеанса связи. Таким образом достаточно быстро удалось выйти на двух членов банды — Мантовани и Эпплъярда. Решающим октябрьским вечером спецслужбы зафиксировали сразу 30 человек, которые одновременно общались онлайне. Они все сидели у себя дома перед экранами своих компьютеров, и в этот момент началась операция по захвату. Вооруженные агенты Сикрет Сервис, ФБР и местной полиции одновременно ворвались в дома подозреваемых и арестовали их. Сопротивления почти никто не оказал. Только один из них — Мончемп — выпрыгнул из окна своей квартиры, находившейся на втором этаже, как только в его дверь постучали полицейские. Не успел он встать на ноги, как на его руках защелкнулись наручники. В его комнате агенты нашли пистолет и даже винтовку с оптическим прицелом — не совсем обычные инструменты для рядового хакера. Всего было произведено 28 арестов в различных странах, 19 членам банды, которые были признаны основателям и руководителями Shadowcrew, были предъявлены обвинения в изготовлении и торговле поддельными и похищенными документами и кредитными картами. Большинство арестованных отрицали свою вину и требовали признать их невиновными. Но это не все члены банды Shadowcrew. Мантовани, Эпплъярд и Мончемп были только частью огромной международной преступной группировки, которая занималась подделкой документов, продажей фальшивых и краденых кредитных карт, как было сказано в обвинительном заключении. Нити расследования привели в такие страны, как Болгария, Канада, Польша и Швеция.
Судебное разбирательство по делу Мантовани состоялось в районном суде города Ньюарк дождливым днем 14 февраля 2005 г. Романтический праздник святого Валентина связан для американцев с еще одним событием — кровавой резней гангстеров в Чикаго. Мантовани — студент Скоттдэйлского колледжа из штата Аризона, 22-х лет — предстал перед судом. Короткие, слегка взъерошенные волосы, мокрые капли дождя на сером костюме и молодое, почти детское лицо. В колледже он учился по строительной специальности и надеется в будущем найти работу, связанную с ней. Во время судебного процесса он жил в Нью-Йорке у своей матери. На вопрос судьи, признает ли он себя виновным, его адвокат Паскуале Джинетта дал отрицательный ответ. По мнению адвоката, Мантовани — обычный молодой человек из семьи среднего достатка, очень милый в общении, никогда не был участником или организатором преступных действий, и такие серьезные обвинения могут травмировать его самого и его родственников. Средний возраст членов Shadowcrew — 20 с небольшим. Это не просто молодежь, но талантливые и имеющие весьма неплохую квалификацию в области компьютерных технологий специалисты. Новое поколение преступников с белыми воротничками. Во время судебного разбирательства Джинетта обращался к Мантовани по имени и уверял, что его подзащитный ничего не знает о тайной торговле крадеными кредитными картами. Агенты и обвинители обращались к нему по кличкам, которые были его идентификаторами в сети Интернет — Deck, DeckerdIsMissin и ThnkYouPleaseDie. Для федеральных агентов этот студент в отглаженном костюмчике был главарем одной из самых крупных и хорошо организованных банд, торгующих крадеными кредитными картами и поддельными документами. Во время процесса над 19 членами банды Shadowcrew суд заслушал показания следователей и обвинителей, воспользовавшись также помощью экспертов в области компьютерной безопасности — в частности, Пескаторе и бывшего агента Сикрет Сервис Джона Фраззини, который сейчас является владельцем фирмы, которая занимается корпоративной безопасностью. Таким образом сложилась полная картина того, как была организована банда Shadowcrew, как распределялись роли ее членов и выполнялись преступные действия.
В соответствии с обвинительными материалами группа членов включая Мантовани и Эпплъярда возглавляла организацию. Они выполняли функции администраторов. Любимым псевдонимом Эпплъярда был BlackOps. В течение года, пока длилось наблюдение за деятельностью банды, на ее капитанском мостике находилось от двух до шести человек. Именно администраторы принимали решение, какому направлению криминального бизнеса отдавать предпочтение в тот или иной момент, как сбывать "товар" — похищенные данные кредитных карт, контролировали набор новых членов: кого принять и какой уровень доступа к веб-сайту и форуму ему предоставить. Пока администраторы управляли криминальным бизнесом, другие члены группировки выполняли свои повседневные обязанности и были разделены на функциональные группы.
Модераторы. Дюжина приближенных к руководству членов, которые администрировали информационные и дискуссионные форумы, доски объявлений. В группу модераторов входили Мончемп (также известный под кличкой Kingpin) и другой обвиняемый — Мэтью Джонсон, или Carsen. На сайте Shadowcrew.com работало около десяти форумов, на которых велись дискуссии о том, как похитить или подделать кредитную карточку или водительские права, дипломы и сертификаты, как добиться того, чтобы фальшивый документ выглядел совсем как настоящий. К модерированию форумов допускались только лица, подтвердившие высокий уровень профессионализма в подделке документов.
Ревизоры. Они занимались оценкой качества товара, похищенных кредитных и дебетных карт, поддельных паспортов. Мончемп входил и в эту группу, как и еще один обвиняемый — Александр Палачио, или Scrilla. Они тестировали кредитные карты, проверяли, не заблокированы ли они, и можно ли совершать с их помощью покупки.
Распространители. Эти члены банды занимались сбытом, продавали нелегальный товар, номера кредитных карт Visa, медицинские страховки, пароли для доступа к различным сетевым и банковским сервисам. Роджерио Родригес (по кличке Kerberos) и Омар Данани (Voleur для своих) оказались на скамье подсудимых.
Остальные составляли тело организации — это тысячи членов, которые использовали веб-сайт Shadowcrew для того, чтобы получить инструкции по совершению мошеннических действий с кредитными картами, изготовлению фальшивых документов и их реализации. Регистрация на сайте была открыта для всех посетителей. Но наиболее важные дискуссии проходили в разделах, закрытых паролем, и для того, чтобы попасть в такой раздел, кандидат должен был получить рекомендации тех членов группировки, которым доверяло руководство. Кроме того, чтобы попасть в привилегированные слои банды, претендент должен был предоставить свой качественный товар, рабочие пароли для доступа к каким-либо ценным ресурсам, номера кредитных карт или поделиться новыми, ранее неизвестными, способами и технологиями для совершения преступных или мошеннических действий. Любой из администраторов мог и наказать членов, нелояльных к организации. Главой "силового ведомства" был Дэвид Эпплъярд (проживал в городке Линвуд, штат Нью Джерси, недалеко от Атлантик Сити, работал брокером на кредитной бирже). Он мог "уволить" любого члена банды, потерявшего доверие, и даже воздействовать на него с применением физической силы. В деле упоминается случай, имевший место в 2003 году. Один из членов банды, известный под псевдонимом CCSupplier, не смог вернуть деньги за реализованный товар членам банды (это была сделка с продажей оборудования для производства поддельных кредитных карт). Возможно, оборудование оказалось некачественным. В наказание Эпплъярд опубликовал на веб-сайте Shadowcrew его реальное имя, адрес и телефон. Не исключено, что затем последовала и физическая расправа. В другом случае, когда один из распространителей задолжал определенную сумму другому члену банды, ему было разрешено совершать сделки через сайт Shadowcrew, только перечисляя деньги в фонд банды вплоть до полного погашения долга. В суде всплыло и еще одно обвинение, которое было выдвинуто ранее, в феврале 2004 года, против Николаса Джакобсена, который взломал компьютерную систему компании T-Mobile и похитил 400 пользовательских учетных записей с паролями, одна из которых даже принадлежала наследнице крупного состояния владельца сети отелей Пэрис Хилтон. Расследованием этого инцидента занималась служба безопасности компании T-Mobile. Как только в поле зрения банды попадал краденый товар, будь то номера кредитных карт, пароли доступа или документы, он незамедлительно поступал ревизорам для проверки. Товар в электронном формате обычно пересылался в виде файла Мончемпу или Паласио. Пластиковые карты и бумажные документы передавались через анонимные арендованные почтовые ящики или камеры хранения обычных магазинов. Как правило, почтовые ящики арендовались на подставных или вымышленных лиц. Место расположения подобных пунктов обмена информацией регулярно менялось. Для проверки кредитных карт преступники взламывали систему обработки платежей какого-либо предприятия розничной торговли. Такие системы имеют возможность удаленного администрирования техническим персоналом — через этот черный ход проникали и хакеры. Тестирование проходило следующим образом: для группы кредиток делались попытки небольших банковских транзакций, переводились суммы в один-два доллара. Если платеж проходил — значит, информация по кредитной карте была достоверна, следовательно, такую карту можно было выставлять на продажу. По результатам проверки ревизоры составляли подробный отчет с детальным описанием криминального товара. Для водительских удостоверений и банковских карточек в обязательном порядке в отчете отражались качество фотографий, воспроизведения голограмм, печати, имени владельца и номера документа, соответствие цветовой палитры оригиналу, толщина карточки. Ревизор мог оставлять личные комментарии — например: "Кредитки, выполненной с таким качеством, я еще не встречал..." или: "Эти водительские права сойдут за настоящие только если не разглядывать их слишком близко". Как только товар получал заключение экспертов, он поступал в продажу и расходился в основном небольшими порциями, хотя при удобном случае совершались и оптовые сделки. В мае 2004 года один из членов банды Shadowcrew выставил на продажу сразу 110.000 номеров украденных кредитных карт. Каждая продавалась за очень небольшую сумму — например, кредитки с балансом до $10.000 уходили за цену от $1 до $10. Поддельные пластиковые кредитные карты продавались мелким оптом, по $50 чистые и по $70 эмбоссированные. Персональная информация пользователей для доступа к различным сервисам передавалась по сети и продавалась так же легко. В сентябре 2004 года Мантовани продал около 18 млн адресов электронной почты с паролями, логинами, датой рождения и прочей личной информацией для каждого ящика. Стоимость одного составляла всего несколько центов. Информация о продаваемых кредитных картах, адресах электронной почты и другом нелегальном товаре вместе с ценой помещалась на веб-сайте Shadowcrew. На форуме сайта работал даже аукцион — этакий криминальный eBay, и лоты на нем звучали примерно так: "Три поддельных водительских удостоверения штата Аризона" или: "1000 краденых номеров кредитных карт Visa". Потенциальные покупатели заходили на форум, оставляли свои предложения по цене и заключали сделки. После совершения покупки деньги продавцу переводились через службу Western Union или электронные платежные системы — например, e-Gold. Разумеется, члены банды часто расплачивались при помощи краденых кредиток. Все операции проводились через электронные платежи для того, чтобы избежать операций с наличными деньгами, потому что они тщательно регистрируются американскими банками и не позволяют сохранить анонимность покупателя и продавца.
Преступные действия банды Shadowcrew подтверждались показаниями свидетелей — нескольких операторов, работавших на серверах, а также записями и данными, которые собрала Сикрет Сервис, установив контроль над сетевым трафиком некоторых членов группировки. Shadowcrew принимала определенные меры безопасности. Например, члены банды использовали бесплатную программу Trillian для того, чтобы шифровать сообщения, отправляемые друг другу через общедоступный чат IRC (Internet Relay Chat) или ICQ через американского оператора связи America Online. Члены группы в сетевом общении и при передаче данных часто прятались за прокси-серверами. Прокси находится между отправителем и получателем информации. Когда кто-то обращается к веб-сайту через прокси-сервер, сайт "видит" и регистрирует IP-адрес прокси, а не реальный адрес компьютера клиента, который отправил веб-запрос на установку связи. Хакеры стараются взламывать компьютеры, которые находятся в местах, где существует постоянный круговорот новых пользователей — например, серверы отелей и учебных заведений, колледжей и университетов. Они превращают эти компьютеры (без ведома их владельцев и администраторов) в сеть анонимных прокси-серверов — посредников, скрывающих следы. Широко распространенным и вполне легальным вариантом использования прокси-серверов служат виртуальные частные сети (VPN). Это множество компьютеров — сотни, а иногда — и тысячи, объединенных в единую сеть, которые могут одновременно устанавливать соединение с внешней сетью Интернет через один прокси-сервер. Каждый компьютер VPN-сети обращается к прокси-серверу с запросом на получение информации от какого-либо внешнего сетевого ресурса — например, веб-сайта. Установить прямое соединение, минуя прокси, он не может. Прокси-сервер, выполняя этот запрос, "от своего имени", используя свой IP-адрес, соединяется с нужным сайтом и получает от него информацию, которую передает компьютеру, инициировавшему первоначальный запрос. Даже если к сайту обращались десятки компьютеров из такой локальной сети, он будет "видеть" и протоколировать запросы только с одного IP-адреса, который принадлежит прокси-серверу. При попытке проследить сетевой трафик все ниточки приведут на этот же прокси, но не далее.
Передачу любых данных в сети Интернет, а это и составляло основу ее деятельности, так как она существовала и действовала, в основном, в виртуальном пространстве, группировка Shadowcrew старалась выполнять тайно. Но Сикрет Сервис имела на руках несколько козырей — ей удалось получить контроль над виртуальной частной сетью, которую использовали для общения члены Shadowcrew, и ее сервером. И уже в 2003 году федеральные агенты могли перехватывать и фильтровать сетевой трафик этой сети. Для этого использовалось специальное программное обеспечение, которое обладало возможностью извлекать из транзитных IP-пакетов не только передаваемые данные, но и реальный IP-адрес компьютера отправителя. Затем при помощи общедоступного сервиса Whois определялся интернет-провайдер, которому принадлежал этот IP-адрес, а провайдер уже мог предоставить всю нужную информацию по клиенту, которому этот адрес был выделен — имя, адрес, платежные реквизиты. Вторым козырем были вполне легальные и разрешенные к применению судом записывающие устройства. Все сообщения, которыми обменивались члены банды, не только перехватывались агентами, но и записывались, а позднее были предъявлены как доказательства в суде. В основном электронные записывающие устройства — это программные средства, которые устанавливаются на определенных серверах в сети Интернет и занимаются протоколированием и мониторингом сетевого трафика. Но основная заслуга в раскрытии деятельности организации принадлежит все-таки информатору, которого удалось внедрить в ее ряды. Но не все проходило так гладко в работе секретных служб, случались и неудачи. Расследование чуть было не провалилось за несколько месяцев до того, как банда была обезврежена. Когда Николас Джейкобсен — член банды, известный также под кличкой Ethics, взломал базу данных компании T-Mobile, похитил информацию о ее клиентах и разместил предложение о продаже этой информации на доске объявлений Muzzfuzz.com, среди пользовательских учетных записей оказался и адрес электронной почты, принадлежавший Питеру Кавиччиа — одному из ведущих агентов Сикрет Сервис, занимавшемуся делом Shadowcrew. Этот ящик он использовал для переписки с информаторами, а также получал на него документы, отправленные агентством. Ethics получил контроль над этим почтовым ящиком, начал собирать документы Сикрет Сервис и наблюдать за поведением Кавиччиа в чате. Так он узнал, что ICQ-номер одного из членов банды находится под наблюдением спецслужб. В виртуальном пространстве началась настоящая игра в кошки-мышки. Служба безопасности T-Mobile начала сотрудничать с Сикрет Сервис с октября 2003 года для того, чтобы установить личность и поймать хакера. Джейкобсена арестовали в феврале 2004 года, и ему было предъявлено обвинение в неправомерном доступе к закрытой компьютерной информации. Случайная утечка информации, с другой стороны, помогла агентам выйти на тех, кто руководил преступной организацией. Когда поступили сведения от информатора о том, что документы из почтового ящика Кавиччиа стали достоянием гласности, удалось проследить всю цепочку событий от взлома сервера T-Mobile, установить личность Джейкобсена, а также всю иерархию, по которой передавались похищенные данные. Ethics сам обратился к оператору, который был тайным агентом спецслужб, с просьбой предоставить ему надежный прокси-сервер для того, чтобы "проследить за одним агентом секретной службы США". Ему был предоставлен прокси, подконтрольный спецслужбам. Таким образом Сикрет Сервис следила за Джейкобсеном, следившим за агентом Кавиччиа. Постепенно при помощи информатора, а также записи переговоров членов банды и регистрации IP-адресов принадлежавших им компьютеров стал известен круг людей, стоявших во главе организации. Пришло время положить конец деятельности Shadowcrew.
Беседа между членами банды тем октябрьским вечером велась, как обычно, на темы фальшивок. Нужно было забросить в чат действительно интересную идею по поводу нового способа несанкционированного доступа к банковской информации или новейших мошеннических схем — чтобы привлечь к обсуждению наибольшее количество членов банды, собрать их в онлайне одновременно. Также синхронно должен был прозвучать и стук в дверь, ведь малейшая задержка могла позволить одному из членов банды предупредить остальных об опасности, подать сигнал и команду на уничтожение улик. В сфере компьютерных преступлений от улик можно избавиться за пару минут элементарным удалением данных или форматированием жесткого диска компьютера. Хотя аресты членов преступной группы Shadowcrew были произведены оперативно, доступ к сайту Shadowcrew заблокировали не сразу — на нем было размещено объявление: "Деятельность членов Shadowcrew расследуется Секретной Службой Соединенных Штатов" и фотография с изображением рук, обхвативших тюремную решетку, под которой были перечислены обвинения, выдвинутые в адрес группы. Постоянным посетителям сайта предлагалось самостоятельно обращаться в правоохранительные органы, не дожидаясь, пока полиция постучится к ним в двери. На новой страничке старый девиз Shadowcrew "Для тех, кто любит играть в тени" был изменен на "Ты больше не аноним!!" Но даже когда средства массовой информации привлекли всеобщее внимание к уже подконтрольному государственным органам сайту Shadowcrew.com, на нем оставалась доступной практически вся информация, доска объявлений по продаже краденых товаров и форум. Среди разделов, которые оставались в свободном доступе для посетителей сайта уже после того, как над ним установили контроль спецслужбы были, например, такие:
— Руководство по совершению афер с кредитными картами.
— Советы по подделке идентификационных документов различных штатов.
— Советы по отключению пассивных инфракрасных датчиков сигнализации.
— Как из подручных средств сделать глушитель для пистолета.
— Как легче заламинировать поддельные документы.
Вряд ли правительство США руководствовалось принципом "информация должна быть свободной". Бывшие пользователи сайта Shadowcrew плавно перешли на другой нелегальный сервер с названием Stealth Division. Резервные копии базы данных и содержимого сервера Shadowcrew создавались регулярно и наверняка остаются в руках преступников до сих пор. Они содержат много полезной для криминального мира информации. Форум на сайте работал еще несколько дней, потом возможность оставлять на нем сообщения была отключена без каких-либо комментариев, но еще долго был доступен архив со старыми материалами. Сикрет Сервис не спешила блокировать доступ к этим ресурсам намеренно, для того чтобы показать на примере одной виртуальной преступной группировки в назидание всем другим, что их деятельность, как бы она ни маскировалась и какие бы методы конспирации ни использовались, всегда будет находиться под контролем спецслужб. А у правоохранительных органов всегда хватит сил и средств, в том числе и технических, для борьбы с киберпреступностью.
В декабре 2004 года на различных сайтах появились объявления людей, причастных к деятельности ShadowCrew, а также их родственников и знакомых. Наряду с лозунгами "Shadowcrew никогда не умрет" встречалась любопытная информация, которая проливала свет на другие стороны киберпреступности. Мало кого могло оставить равнодушным обращение Шаны Олсен: "Мой жених, я уверена, что вы все его хорошо знаете, Framd323, был арестован 28 октября. Я на шестом месяце беременности, не могу найти работу, потому что никто не хочет брать на работу беременную женщину. Он потерял все, все деньги до единого пенни, все, что ему удалось заработать с таким риском. Я не смогу одна, без средств, вырастить ребенка и буду вынуждена отдать его в чужие руки или могу потерять его. Как я могла тебе довериться? Почему ты такой эгоистичный? Почему ты не видишь людей, которым причиняешь боль? Ты разрушаешь их жизнь. Ты просто совершаешь преступление. Но расплачиваемся за него МЫ — твоя семья, жена, дети. И все это ради чего? Я никогда не смогу этого понять. За что? Но я все равно желаю тебе удачи, она тебе понадобится. А теперь я обращаюсь к тем, кто был вместе с ним — вы ведь считались друзьями, были в хороших, приятельских отношениях, были одной командой. Сможете мне объяснить — почему вы не заплатили за него выкуп?" Очень эмоционально, не правда ли? Но это просто другая сторона жизни рыцарей виртуального плаща и кинжала, которая выглядит не так романтично и привлекательно, но существует неотделимо от лицевой стороны. Шана называет своего жениха не по имени, а по кличке, под которой он был известен в сети другим членам группировки, она знала о его деятельности и незаконном заработке. Жизнь шла своим чередом, и все надеялись, что вслед за преступлением не последует наказание, а если и случится такая неприятность, то очень нескоро. К тому времени можно будет накопить достаточно денег и "завязать". Возможно, на это надеется каждый преступник, но, как случается на практике, возмездие все же приходит, и, как обычно, неожиданно. Совершая свои преступления в киберпространстве, члены ShadowCrew хранили похищенные деньги там же, в виде электронных счетов, которые были немедленно заблокированы после раскрытия группировки и арестов. Переводить активы в наличные было опасно. По этой же причине, опасаясь рассекретить себя, оставшиеся на свободе члены банды не могли внести залог для освобождения своих арестованных коллег. Или сработал стандартный преступный инстинкт "каждый сам за себя"? Другое письмо от девушки, назвавшей себя Джессика Джексон: "Мой жених жил в Лос-Анджелесе и был арестован 26 октября за то, что был постоянным участником форума phpbb на сайте shadowcrew.com. Его выпустили под залог в 100.000 долларов. Он никогда не думал, что участвовать в форумах на сайтах Интернета — это преступление. Он никогда не обсуждал там ничего нелегального и не совершал никаких преступлений. Ведь у нас существует свобода речи. Но это обернулось настоящим кошмаром. Как бы хотелось никогда не знать про этот сайт." Мы уже знаем, какие дискуссии велись на форумах сайта shadowcrew.com, какой товар выставлялся там на продажу, создание какого рода программного обеспечения обсуждалось. Случайный посетитель мог оказаться на этом форуме, но ненадолго. В руках спецслужб оказались протоколы и "стенограммы" общения на этих форумах, они выступили в качестве улик в суде. А весьма серьезная сумма залога в сто тысяч долларов говорит о том, что подозреваемый совершил нечто гораздо более значительное, чем кража пирожка в магазине. Интересное сообщение было опубликовано одним из членов ShadowCrew, жившим в Великобритании и ушедшим "в подполье", обращенное к его бывшим соратникам Framed, Deck, Malpadre и другим. Напомню, что Deck — это не кто иной как Мантовани. Автор упоминает кого-то по кличке Сumba. Он был арестован год назад, а потом стал работать на Сикрет Сервис, администрировал VPN-сеть, через которую проходило общение членов ShadowCrew, а также регистрация реальных IP-адресов их компьютеров.
Возможно Shadowcrew была хорошо организованной преступной группой, но не самой лучшей и не самой опасной среди виртуальных криминальных структур. Так, например, русская мафия смогла в течение пяти лет контролировать компьютерную систему банка Citibank в 90-х годах прошлого века. Преступные группы, подобные Shadowcrew и Stealthdivision, появляются и исчезают, но угроза, которая исходит от них, иногда помогает организациям и предприятиям, которые подвергаются атакам со стороны преступников, сконцентрировать усилия на усилении системы безопасности своих сетевых инфраструктур для противостояния фишинг-атакам и внедрению программ-шпионов. Страны Восточной Европы служат практически неиссякаемым источником поставки технически грамотных специалистов, которые не могут найти работу по специальности и нуждаются в деньгах. В этих странах очень часто ни законодательство, ни правоохранительные органы не готовы и не способны бороться с преступностью в области высоких технологий, а отношения со спецслужбами США для совместной деятельности не налажены. Они не заинтересованы в том, чтобы помогать Штатам в борьбе с киберпреступностью, потому что больше заняты своими собственными проблемами, инфляцией и безработицей. За последние месяцы деятельности группировки Shadowcrew рынок нелегального товара, в пополнении которого активно участвовали ее члены, постоянно совершенствовался. Так, цены на похищенные кредитные карты устанавливались уже дифференцированно в зависимости от страны владельца карты и банка, ее выпустившего, уровня системы безопасности и защищенности карт. Продукт, которым можно было пользоваться дольше, получая большую выгоду, был дороже в цене. Но пока не существует надежной электронной инфраструктуры, которая поможет поймать виртуальных гангстеров. Эксперты говорят о необходимости совершенствования схем фильтрации и авторизации для идентификации реального отправителя электронного сообщения. Необходимо разработать единый стандартный способ уведомления о различных сетевых атаках, чтобы информация о них оперативно доставлялась и правоохранительным органам, и компаниям, которые подверглись атаке. Пока не создано ни программных, ни технических средств, которые могут надежно защитить финансовые компании и их клиентов от киберпреступников. Уже можно насчитать полсотни вариантов панелей для браузеров, которые занимаются блокировкой всплывающих окон с рекламой и пытаются защищать пользователя при работе в сети Интернет. Но пока невозможно прогнозировать развитие и видоизменение угрозы, которая может исходить из компьютерной сети. Поэтому многие компании и не могут определиться в стратегии компьютерной безопасности — как, куда и сколько средств вкладывать. В январе 2005 года фирма Enterprise Strategy Group, которая занимается маркетинговыми исследованиями, провела опрос, в котором участвовал 251 сотрудник отделов информационных технологий предприятий различных видов деятельности и отраслей промышленности. 64% компаний потратили средства на системы безопасности, которые защитили периметр, то есть внешнюю часть их локальной сети и 39% компаний, которые позаботились о внутрисетевой безопасности. Две трети тех и других, несмотря на предпринятые меры, подверглись хотя бы один раз вирусной атаке в течение года. Иногда оказывается проще оплатить расходы и выплатить компенсации жертвам мошенничества, чем вкладывать средства в системы сетевой безопасности. И сегодня такая практика экономически обоснована, потому что компенсационные расходы имеют разовый характер, а инвестиции в информационную и компьютерную безопасность должны быть постоянными. Так, например, один из банков каждый месяц выплачивает один миллион долларов своим клиентам для компенсации ущерба по причине фишинг-атак. Преступные группы, подобные Shadowcrew, будут появляться и в будущем, потому что это просто еще один способ относительно легкого добывания денег, от которого так сложно отказаться. А Всемирная компьютерная сеть позволяет легко объединять усилия и организовывать сотрудничество. Сегодня не требуется быть специалистом широкого профиля: "я хороший хакер, ты умеешь подделывать документы, вон тот парень умеет неплохо мошенничать в Сети — давайте сотрудничать и совершать преступления вместе".
Катерина Грень по материалам зарубежных изданий Baseline, Silicon.com, CNET news
Shadowcrew — это высокоорганизованная профессиональная преступная группировка, которая, в отличие от американской мафии и русских преступных синдикатов, существовала и действовала исключительно в виртуальном пространстве. Ее члены знали друг друга только по компьютерным кличкам, альясам, связывались и общались через сеть Интернет и совершали преступления в темных закоулках киберпространства. Виртуальный электронный рынок, сайт Shadowcrew.com, на котором они предлагали краденый товар, мог быть развернут и размещен в любом месте Сети, на сервере, который мог находиться в любой стране, с помощью всего нескольких команд с клавиатуры компьютера, а потом так же быстро перемещен на другой сервер. Излюбленными местами парковки сайта были Россия, страны Восточной Европы и Китай. Через свой сайт члены преступного сообщества осуществляли сделки по продаже оборудования и заготовок для изготовления фальшивых документов и кредитных карт, медицинских рецептов на покупку наркотических веществ, кокаина, созданию и распространению вредоносного ПО и производству сетевых DDoS (Distributed Denial of Service) атак. По данным Федеральной Торговой Комиссии США, за 2004 год с использованием похищенной или полученной мошенническим путем банковской и личной информации было приобретено товаров и услуг на сумму $52 млрд. Это только прямые убытки банков и компаний, занимающихся электронной коммерцией, от действий киберпреступников. Но еще большую сумму составляет ущерб, который невозможно подсчитать — он связан с потерей репутации и снижением доверия клиентов. Интернет постепенно перестает быть безопасным местом для обычного общения, не говоря уже о передаче по Сети любой конфиденциальной информации. Если так широко и открыто при помощи массовых рассылок и на интернет-сайтах рекламируются предложения по продаже краденых номеров кредитных карт, то кто может быть уверен, что среди них не окажется его собственной кредитки? Если в ресторанах "МакДональдс" начнут готовить самые вкусные блюда и продавать по самым низким ценам, но на парковке перед входом вас будут грабить, кто-нибудь пойдет в такой ресторан? Один из самых популярных способов хищения номеров кредитных карт и личной информации — фишинг — рассылка писем с целью заманить ничего не подозревающую жертву на сайт, который выглядит как сайт банка, но создан мошенниками для сбора личных и финансовых данных. В результате экспансии фишинга и других видов мошенничества с использованием сети Интернет покупатель становится все более осторожным, он неохотно вводит номер своей кредитной карты даже на легальном сайте интернет-магазина, избегает отвечать на электронные письма. Стремительно падает доверие пользователей к электронной почте. Anti-Phishing Working Group — некоммерческая организация, которая пытается противостоять распространению фишинг-афер в Сети, — подсчитала, что ежедневно мошенниками рассылается от 75 до 150 миллионов писем, большая часть которых — результат работы организованных преступных группировок. Такая активность криминальных структур негативно влияет на состояние и рост электронной коммерции. За последние 5 лет интернет-коммерция (по данным International Data Corp.) выросла на 30%, за 2004 год покупатели всего мира потратили на покупки онлайн более $300 млрд. Но если сомнения клиентов виртуальных торговых площадок по поводу безопасности использования электронных платежей, ввода идентификационных данных и номеров кредитных карт не будут развеяны, то к 2007 году онлайновую экономику ожидают весьма мрачные перспективы. Тревоги пользователей небеспочвенны. В результате только одной атаки преступников на сервер компании ChoicePoint было похищено 144.778 учетных записей с данными клиентов, их финансовой информацией и номерами карточек социального страхования. Более 700 из них позднее были использованы и модифицированы преступниками.
Возглавляли преступную группу Shadowcrew около двух десятков несомненно умных, технически грамотных и очень осторожных людей. Долгое время они успешно нарушали законы, скрываясь за кличками вроде BlackOps и Kingpin. Чтобы их было труднее выследить, члены группы обменивались сообщениями через цепочки анонимных прокси-серверов и шифровали свою почту. Никакие силовые структуры — даже Сикрет Сервис — не могли перехватить и прочитать эту информацию. Киберпреступники чувствовали себя неуловимыми и недосягаемыми. Но в 9 часов вечера 26 октября 2004 года банду Shadowcrew ожидал сюрприз. Спецслужбам все же удалось установить контроль над деятельностью преступников и получать сведения об их активности в течение года благодаря информатору, внедренному в эту организацию. Он администрировал один из серверов группы и оказал неоценимую помощь в раскрытии Shadowcrew. В этот осенний дождливый вечер Эндрю Мантовани, Дэвид Эпплъярд, Брэндон Мончемп и еще несколько десятков членов Shadowcrew спокойно сидели за клавиатурой своих компьютеров, ничего не подозревая и занимаясь обычным делом, обсуждали, как выгоднее и быстрее продать номера ворованых кредитных карт или поддельные документы. В процессе расследования деятельности банды агентству удалось установить контроль над одним из серверов и участком виртуальной частной сети, который активно использовался членами Shadowcrew для общения. Как только поступало новое сообщение, специалисты из Сикрет Сервис перехватывали и IP-адрес компьютера его отправителя. По этому адресу они устанавливали провайдера, которому он принадлежит, место нахождения и имя клиента, получившего этот адрес для сеанса связи. Таким образом достаточно быстро удалось выйти на двух членов банды — Мантовани и Эпплъярда. Решающим октябрьским вечером спецслужбы зафиксировали сразу 30 человек, которые одновременно общались онлайне. Они все сидели у себя дома перед экранами своих компьютеров, и в этот момент началась операция по захвату. Вооруженные агенты Сикрет Сервис, ФБР и местной полиции одновременно ворвались в дома подозреваемых и арестовали их. Сопротивления почти никто не оказал. Только один из них — Мончемп — выпрыгнул из окна своей квартиры, находившейся на втором этаже, как только в его дверь постучали полицейские. Не успел он встать на ноги, как на его руках защелкнулись наручники. В его комнате агенты нашли пистолет и даже винтовку с оптическим прицелом — не совсем обычные инструменты для рядового хакера. Всего было произведено 28 арестов в различных странах, 19 членам банды, которые были признаны основателям и руководителями Shadowcrew, были предъявлены обвинения в изготовлении и торговле поддельными и похищенными документами и кредитными картами. Большинство арестованных отрицали свою вину и требовали признать их невиновными. Но это не все члены банды Shadowcrew. Мантовани, Эпплъярд и Мончемп были только частью огромной международной преступной группировки, которая занималась подделкой документов, продажей фальшивых и краденых кредитных карт, как было сказано в обвинительном заключении. Нити расследования привели в такие страны, как Болгария, Канада, Польша и Швеция.
Судебное разбирательство по делу Мантовани состоялось в районном суде города Ньюарк дождливым днем 14 февраля 2005 г. Романтический праздник святого Валентина связан для американцев с еще одним событием — кровавой резней гангстеров в Чикаго. Мантовани — студент Скоттдэйлского колледжа из штата Аризона, 22-х лет — предстал перед судом. Короткие, слегка взъерошенные волосы, мокрые капли дождя на сером костюме и молодое, почти детское лицо. В колледже он учился по строительной специальности и надеется в будущем найти работу, связанную с ней. Во время судебного процесса он жил в Нью-Йорке у своей матери. На вопрос судьи, признает ли он себя виновным, его адвокат Паскуале Джинетта дал отрицательный ответ. По мнению адвоката, Мантовани — обычный молодой человек из семьи среднего достатка, очень милый в общении, никогда не был участником или организатором преступных действий, и такие серьезные обвинения могут травмировать его самого и его родственников. Средний возраст членов Shadowcrew — 20 с небольшим. Это не просто молодежь, но талантливые и имеющие весьма неплохую квалификацию в области компьютерных технологий специалисты. Новое поколение преступников с белыми воротничками. Во время судебного разбирательства Джинетта обращался к Мантовани по имени и уверял, что его подзащитный ничего не знает о тайной торговле крадеными кредитными картами. Агенты и обвинители обращались к нему по кличкам, которые были его идентификаторами в сети Интернет — Deck, DeckerdIsMissin и ThnkYouPleaseDie. Для федеральных агентов этот студент в отглаженном костюмчике был главарем одной из самых крупных и хорошо организованных банд, торгующих крадеными кредитными картами и поддельными документами. Во время процесса над 19 членами банды Shadowcrew суд заслушал показания следователей и обвинителей, воспользовавшись также помощью экспертов в области компьютерной безопасности — в частности, Пескаторе и бывшего агента Сикрет Сервис Джона Фраззини, который сейчас является владельцем фирмы, которая занимается корпоративной безопасностью. Таким образом сложилась полная картина того, как была организована банда Shadowcrew, как распределялись роли ее членов и выполнялись преступные действия.
В соответствии с обвинительными материалами группа членов включая Мантовани и Эпплъярда возглавляла организацию. Они выполняли функции администраторов. Любимым псевдонимом Эпплъярда был BlackOps. В течение года, пока длилось наблюдение за деятельностью банды, на ее капитанском мостике находилось от двух до шести человек. Именно администраторы принимали решение, какому направлению криминального бизнеса отдавать предпочтение в тот или иной момент, как сбывать "товар" — похищенные данные кредитных карт, контролировали набор новых членов: кого принять и какой уровень доступа к веб-сайту и форуму ему предоставить. Пока администраторы управляли криминальным бизнесом, другие члены группировки выполняли свои повседневные обязанности и были разделены на функциональные группы.
Модераторы. Дюжина приближенных к руководству членов, которые администрировали информационные и дискуссионные форумы, доски объявлений. В группу модераторов входили Мончемп (также известный под кличкой Kingpin) и другой обвиняемый — Мэтью Джонсон, или Carsen. На сайте Shadowcrew.com работало около десяти форумов, на которых велись дискуссии о том, как похитить или подделать кредитную карточку или водительские права, дипломы и сертификаты, как добиться того, чтобы фальшивый документ выглядел совсем как настоящий. К модерированию форумов допускались только лица, подтвердившие высокий уровень профессионализма в подделке документов.
Ревизоры. Они занимались оценкой качества товара, похищенных кредитных и дебетных карт, поддельных паспортов. Мончемп входил и в эту группу, как и еще один обвиняемый — Александр Палачио, или Scrilla. Они тестировали кредитные карты, проверяли, не заблокированы ли они, и можно ли совершать с их помощью покупки.
Распространители. Эти члены банды занимались сбытом, продавали нелегальный товар, номера кредитных карт Visa, медицинские страховки, пароли для доступа к различным сетевым и банковским сервисам. Роджерио Родригес (по кличке Kerberos) и Омар Данани (Voleur для своих) оказались на скамье подсудимых.
Остальные составляли тело организации — это тысячи членов, которые использовали веб-сайт Shadowcrew для того, чтобы получить инструкции по совершению мошеннических действий с кредитными картами, изготовлению фальшивых документов и их реализации. Регистрация на сайте была открыта для всех посетителей. Но наиболее важные дискуссии проходили в разделах, закрытых паролем, и для того, чтобы попасть в такой раздел, кандидат должен был получить рекомендации тех членов группировки, которым доверяло руководство. Кроме того, чтобы попасть в привилегированные слои банды, претендент должен был предоставить свой качественный товар, рабочие пароли для доступа к каким-либо ценным ресурсам, номера кредитных карт или поделиться новыми, ранее неизвестными, способами и технологиями для совершения преступных или мошеннических действий. Любой из администраторов мог и наказать членов, нелояльных к организации. Главой "силового ведомства" был Дэвид Эпплъярд (проживал в городке Линвуд, штат Нью Джерси, недалеко от Атлантик Сити, работал брокером на кредитной бирже). Он мог "уволить" любого члена банды, потерявшего доверие, и даже воздействовать на него с применением физической силы. В деле упоминается случай, имевший место в 2003 году. Один из членов банды, известный под псевдонимом CCSupplier, не смог вернуть деньги за реализованный товар членам банды (это была сделка с продажей оборудования для производства поддельных кредитных карт). Возможно, оборудование оказалось некачественным. В наказание Эпплъярд опубликовал на веб-сайте Shadowcrew его реальное имя, адрес и телефон. Не исключено, что затем последовала и физическая расправа. В другом случае, когда один из распространителей задолжал определенную сумму другому члену банды, ему было разрешено совершать сделки через сайт Shadowcrew, только перечисляя деньги в фонд банды вплоть до полного погашения долга. В суде всплыло и еще одно обвинение, которое было выдвинуто ранее, в феврале 2004 года, против Николаса Джакобсена, который взломал компьютерную систему компании T-Mobile и похитил 400 пользовательских учетных записей с паролями, одна из которых даже принадлежала наследнице крупного состояния владельца сети отелей Пэрис Хилтон. Расследованием этого инцидента занималась служба безопасности компании T-Mobile. Как только в поле зрения банды попадал краденый товар, будь то номера кредитных карт, пароли доступа или документы, он незамедлительно поступал ревизорам для проверки. Товар в электронном формате обычно пересылался в виде файла Мончемпу или Паласио. Пластиковые карты и бумажные документы передавались через анонимные арендованные почтовые ящики или камеры хранения обычных магазинов. Как правило, почтовые ящики арендовались на подставных или вымышленных лиц. Место расположения подобных пунктов обмена информацией регулярно менялось. Для проверки кредитных карт преступники взламывали систему обработки платежей какого-либо предприятия розничной торговли. Такие системы имеют возможность удаленного администрирования техническим персоналом — через этот черный ход проникали и хакеры. Тестирование проходило следующим образом: для группы кредиток делались попытки небольших банковских транзакций, переводились суммы в один-два доллара. Если платеж проходил — значит, информация по кредитной карте была достоверна, следовательно, такую карту можно было выставлять на продажу. По результатам проверки ревизоры составляли подробный отчет с детальным описанием криминального товара. Для водительских удостоверений и банковских карточек в обязательном порядке в отчете отражались качество фотографий, воспроизведения голограмм, печати, имени владельца и номера документа, соответствие цветовой палитры оригиналу, толщина карточки. Ревизор мог оставлять личные комментарии — например: "Кредитки, выполненной с таким качеством, я еще не встречал..." или: "Эти водительские права сойдут за настоящие только если не разглядывать их слишком близко". Как только товар получал заключение экспертов, он поступал в продажу и расходился в основном небольшими порциями, хотя при удобном случае совершались и оптовые сделки. В мае 2004 года один из членов банды Shadowcrew выставил на продажу сразу 110.000 номеров украденных кредитных карт. Каждая продавалась за очень небольшую сумму — например, кредитки с балансом до $10.000 уходили за цену от $1 до $10. Поддельные пластиковые кредитные карты продавались мелким оптом, по $50 чистые и по $70 эмбоссированные. Персональная информация пользователей для доступа к различным сервисам передавалась по сети и продавалась так же легко. В сентябре 2004 года Мантовани продал около 18 млн адресов электронной почты с паролями, логинами, датой рождения и прочей личной информацией для каждого ящика. Стоимость одного составляла всего несколько центов. Информация о продаваемых кредитных картах, адресах электронной почты и другом нелегальном товаре вместе с ценой помещалась на веб-сайте Shadowcrew. На форуме сайта работал даже аукцион — этакий криминальный eBay, и лоты на нем звучали примерно так: "Три поддельных водительских удостоверения штата Аризона" или: "1000 краденых номеров кредитных карт Visa". Потенциальные покупатели заходили на форум, оставляли свои предложения по цене и заключали сделки. После совершения покупки деньги продавцу переводились через службу Western Union или электронные платежные системы — например, e-Gold. Разумеется, члены банды часто расплачивались при помощи краденых кредиток. Все операции проводились через электронные платежи для того, чтобы избежать операций с наличными деньгами, потому что они тщательно регистрируются американскими банками и не позволяют сохранить анонимность покупателя и продавца.
Преступные действия банды Shadowcrew подтверждались показаниями свидетелей — нескольких операторов, работавших на серверах, а также записями и данными, которые собрала Сикрет Сервис, установив контроль над сетевым трафиком некоторых членов группировки. Shadowcrew принимала определенные меры безопасности. Например, члены банды использовали бесплатную программу Trillian для того, чтобы шифровать сообщения, отправляемые друг другу через общедоступный чат IRC (Internet Relay Chat) или ICQ через американского оператора связи America Online. Члены группы в сетевом общении и при передаче данных часто прятались за прокси-серверами. Прокси находится между отправителем и получателем информации. Когда кто-то обращается к веб-сайту через прокси-сервер, сайт "видит" и регистрирует IP-адрес прокси, а не реальный адрес компьютера клиента, который отправил веб-запрос на установку связи. Хакеры стараются взламывать компьютеры, которые находятся в местах, где существует постоянный круговорот новых пользователей — например, серверы отелей и учебных заведений, колледжей и университетов. Они превращают эти компьютеры (без ведома их владельцев и администраторов) в сеть анонимных прокси-серверов — посредников, скрывающих следы. Широко распространенным и вполне легальным вариантом использования прокси-серверов служат виртуальные частные сети (VPN). Это множество компьютеров — сотни, а иногда — и тысячи, объединенных в единую сеть, которые могут одновременно устанавливать соединение с внешней сетью Интернет через один прокси-сервер. Каждый компьютер VPN-сети обращается к прокси-серверу с запросом на получение информации от какого-либо внешнего сетевого ресурса — например, веб-сайта. Установить прямое соединение, минуя прокси, он не может. Прокси-сервер, выполняя этот запрос, "от своего имени", используя свой IP-адрес, соединяется с нужным сайтом и получает от него информацию, которую передает компьютеру, инициировавшему первоначальный запрос. Даже если к сайту обращались десятки компьютеров из такой локальной сети, он будет "видеть" и протоколировать запросы только с одного IP-адреса, который принадлежит прокси-серверу. При попытке проследить сетевой трафик все ниточки приведут на этот же прокси, но не далее.
Передачу любых данных в сети Интернет, а это и составляло основу ее деятельности, так как она существовала и действовала, в основном, в виртуальном пространстве, группировка Shadowcrew старалась выполнять тайно. Но Сикрет Сервис имела на руках несколько козырей — ей удалось получить контроль над виртуальной частной сетью, которую использовали для общения члены Shadowcrew, и ее сервером. И уже в 2003 году федеральные агенты могли перехватывать и фильтровать сетевой трафик этой сети. Для этого использовалось специальное программное обеспечение, которое обладало возможностью извлекать из транзитных IP-пакетов не только передаваемые данные, но и реальный IP-адрес компьютера отправителя. Затем при помощи общедоступного сервиса Whois определялся интернет-провайдер, которому принадлежал этот IP-адрес, а провайдер уже мог предоставить всю нужную информацию по клиенту, которому этот адрес был выделен — имя, адрес, платежные реквизиты. Вторым козырем были вполне легальные и разрешенные к применению судом записывающие устройства. Все сообщения, которыми обменивались члены банды, не только перехватывались агентами, но и записывались, а позднее были предъявлены как доказательства в суде. В основном электронные записывающие устройства — это программные средства, которые устанавливаются на определенных серверах в сети Интернет и занимаются протоколированием и мониторингом сетевого трафика. Но основная заслуга в раскрытии деятельности организации принадлежит все-таки информатору, которого удалось внедрить в ее ряды. Но не все проходило так гладко в работе секретных служб, случались и неудачи. Расследование чуть было не провалилось за несколько месяцев до того, как банда была обезврежена. Когда Николас Джейкобсен — член банды, известный также под кличкой Ethics, взломал базу данных компании T-Mobile, похитил информацию о ее клиентах и разместил предложение о продаже этой информации на доске объявлений Muzzfuzz.com, среди пользовательских учетных записей оказался и адрес электронной почты, принадлежавший Питеру Кавиччиа — одному из ведущих агентов Сикрет Сервис, занимавшемуся делом Shadowcrew. Этот ящик он использовал для переписки с информаторами, а также получал на него документы, отправленные агентством. Ethics получил контроль над этим почтовым ящиком, начал собирать документы Сикрет Сервис и наблюдать за поведением Кавиччиа в чате. Так он узнал, что ICQ-номер одного из членов банды находится под наблюдением спецслужб. В виртуальном пространстве началась настоящая игра в кошки-мышки. Служба безопасности T-Mobile начала сотрудничать с Сикрет Сервис с октября 2003 года для того, чтобы установить личность и поймать хакера. Джейкобсена арестовали в феврале 2004 года, и ему было предъявлено обвинение в неправомерном доступе к закрытой компьютерной информации. Случайная утечка информации, с другой стороны, помогла агентам выйти на тех, кто руководил преступной организацией. Когда поступили сведения от информатора о том, что документы из почтового ящика Кавиччиа стали достоянием гласности, удалось проследить всю цепочку событий от взлома сервера T-Mobile, установить личность Джейкобсена, а также всю иерархию, по которой передавались похищенные данные. Ethics сам обратился к оператору, который был тайным агентом спецслужб, с просьбой предоставить ему надежный прокси-сервер для того, чтобы "проследить за одним агентом секретной службы США". Ему был предоставлен прокси, подконтрольный спецслужбам. Таким образом Сикрет Сервис следила за Джейкобсеном, следившим за агентом Кавиччиа. Постепенно при помощи информатора, а также записи переговоров членов банды и регистрации IP-адресов принадлежавших им компьютеров стал известен круг людей, стоявших во главе организации. Пришло время положить конец деятельности Shadowcrew.
Беседа между членами банды тем октябрьским вечером велась, как обычно, на темы фальшивок. Нужно было забросить в чат действительно интересную идею по поводу нового способа несанкционированного доступа к банковской информации или новейших мошеннических схем — чтобы привлечь к обсуждению наибольшее количество членов банды, собрать их в онлайне одновременно. Также синхронно должен был прозвучать и стук в дверь, ведь малейшая задержка могла позволить одному из членов банды предупредить остальных об опасности, подать сигнал и команду на уничтожение улик. В сфере компьютерных преступлений от улик можно избавиться за пару минут элементарным удалением данных или форматированием жесткого диска компьютера. Хотя аресты членов преступной группы Shadowcrew были произведены оперативно, доступ к сайту Shadowcrew заблокировали не сразу — на нем было размещено объявление: "Деятельность членов Shadowcrew расследуется Секретной Службой Соединенных Штатов" и фотография с изображением рук, обхвативших тюремную решетку, под которой были перечислены обвинения, выдвинутые в адрес группы. Постоянным посетителям сайта предлагалось самостоятельно обращаться в правоохранительные органы, не дожидаясь, пока полиция постучится к ним в двери. На новой страничке старый девиз Shadowcrew "Для тех, кто любит играть в тени" был изменен на "Ты больше не аноним!!" Но даже когда средства массовой информации привлекли всеобщее внимание к уже подконтрольному государственным органам сайту Shadowcrew.com, на нем оставалась доступной практически вся информация, доска объявлений по продаже краденых товаров и форум. Среди разделов, которые оставались в свободном доступе для посетителей сайта уже после того, как над ним установили контроль спецслужбы были, например, такие:
— Руководство по совершению афер с кредитными картами.
— Советы по подделке идентификационных документов различных штатов.
— Советы по отключению пассивных инфракрасных датчиков сигнализации.
— Как из подручных средств сделать глушитель для пистолета.
— Как легче заламинировать поддельные документы.
Вряд ли правительство США руководствовалось принципом "информация должна быть свободной". Бывшие пользователи сайта Shadowcrew плавно перешли на другой нелегальный сервер с названием Stealth Division. Резервные копии базы данных и содержимого сервера Shadowcrew создавались регулярно и наверняка остаются в руках преступников до сих пор. Они содержат много полезной для криминального мира информации. Форум на сайте работал еще несколько дней, потом возможность оставлять на нем сообщения была отключена без каких-либо комментариев, но еще долго был доступен архив со старыми материалами. Сикрет Сервис не спешила блокировать доступ к этим ресурсам намеренно, для того чтобы показать на примере одной виртуальной преступной группировки в назидание всем другим, что их деятельность, как бы она ни маскировалась и какие бы методы конспирации ни использовались, всегда будет находиться под контролем спецслужб. А у правоохранительных органов всегда хватит сил и средств, в том числе и технических, для борьбы с киберпреступностью.
В декабре 2004 года на различных сайтах появились объявления людей, причастных к деятельности ShadowCrew, а также их родственников и знакомых. Наряду с лозунгами "Shadowcrew никогда не умрет" встречалась любопытная информация, которая проливала свет на другие стороны киберпреступности. Мало кого могло оставить равнодушным обращение Шаны Олсен: "Мой жених, я уверена, что вы все его хорошо знаете, Framd323, был арестован 28 октября. Я на шестом месяце беременности, не могу найти работу, потому что никто не хочет брать на работу беременную женщину. Он потерял все, все деньги до единого пенни, все, что ему удалось заработать с таким риском. Я не смогу одна, без средств, вырастить ребенка и буду вынуждена отдать его в чужие руки или могу потерять его. Как я могла тебе довериться? Почему ты такой эгоистичный? Почему ты не видишь людей, которым причиняешь боль? Ты разрушаешь их жизнь. Ты просто совершаешь преступление. Но расплачиваемся за него МЫ — твоя семья, жена, дети. И все это ради чего? Я никогда не смогу этого понять. За что? Но я все равно желаю тебе удачи, она тебе понадобится. А теперь я обращаюсь к тем, кто был вместе с ним — вы ведь считались друзьями, были в хороших, приятельских отношениях, были одной командой. Сможете мне объяснить — почему вы не заплатили за него выкуп?" Очень эмоционально, не правда ли? Но это просто другая сторона жизни рыцарей виртуального плаща и кинжала, которая выглядит не так романтично и привлекательно, но существует неотделимо от лицевой стороны. Шана называет своего жениха не по имени, а по кличке, под которой он был известен в сети другим членам группировки, она знала о его деятельности и незаконном заработке. Жизнь шла своим чередом, и все надеялись, что вслед за преступлением не последует наказание, а если и случится такая неприятность, то очень нескоро. К тому времени можно будет накопить достаточно денег и "завязать". Возможно, на это надеется каждый преступник, но, как случается на практике, возмездие все же приходит, и, как обычно, неожиданно. Совершая свои преступления в киберпространстве, члены ShadowCrew хранили похищенные деньги там же, в виде электронных счетов, которые были немедленно заблокированы после раскрытия группировки и арестов. Переводить активы в наличные было опасно. По этой же причине, опасаясь рассекретить себя, оставшиеся на свободе члены банды не могли внести залог для освобождения своих арестованных коллег. Или сработал стандартный преступный инстинкт "каждый сам за себя"? Другое письмо от девушки, назвавшей себя Джессика Джексон: "Мой жених жил в Лос-Анджелесе и был арестован 26 октября за то, что был постоянным участником форума phpbb на сайте shadowcrew.com. Его выпустили под залог в 100.000 долларов. Он никогда не думал, что участвовать в форумах на сайтах Интернета — это преступление. Он никогда не обсуждал там ничего нелегального и не совершал никаких преступлений. Ведь у нас существует свобода речи. Но это обернулось настоящим кошмаром. Как бы хотелось никогда не знать про этот сайт." Мы уже знаем, какие дискуссии велись на форумах сайта shadowcrew.com, какой товар выставлялся там на продажу, создание какого рода программного обеспечения обсуждалось. Случайный посетитель мог оказаться на этом форуме, но ненадолго. В руках спецслужб оказались протоколы и "стенограммы" общения на этих форумах, они выступили в качестве улик в суде. А весьма серьезная сумма залога в сто тысяч долларов говорит о том, что подозреваемый совершил нечто гораздо более значительное, чем кража пирожка в магазине. Интересное сообщение было опубликовано одним из членов ShadowCrew, жившим в Великобритании и ушедшим "в подполье", обращенное к его бывшим соратникам Framed, Deck, Malpadre и другим. Напомню, что Deck — это не кто иной как Мантовани. Автор упоминает кого-то по кличке Сumba. Он был арестован год назад, а потом стал работать на Сикрет Сервис, администрировал VPN-сеть, через которую проходило общение членов ShadowCrew, а также регистрация реальных IP-адресов их компьютеров.
Возможно Shadowcrew была хорошо организованной преступной группой, но не самой лучшей и не самой опасной среди виртуальных криминальных структур. Так, например, русская мафия смогла в течение пяти лет контролировать компьютерную систему банка Citibank в 90-х годах прошлого века. Преступные группы, подобные Shadowcrew и Stealthdivision, появляются и исчезают, но угроза, которая исходит от них, иногда помогает организациям и предприятиям, которые подвергаются атакам со стороны преступников, сконцентрировать усилия на усилении системы безопасности своих сетевых инфраструктур для противостояния фишинг-атакам и внедрению программ-шпионов. Страны Восточной Европы служат практически неиссякаемым источником поставки технически грамотных специалистов, которые не могут найти работу по специальности и нуждаются в деньгах. В этих странах очень часто ни законодательство, ни правоохранительные органы не готовы и не способны бороться с преступностью в области высоких технологий, а отношения со спецслужбами США для совместной деятельности не налажены. Они не заинтересованы в том, чтобы помогать Штатам в борьбе с киберпреступностью, потому что больше заняты своими собственными проблемами, инфляцией и безработицей. За последние месяцы деятельности группировки Shadowcrew рынок нелегального товара, в пополнении которого активно участвовали ее члены, постоянно совершенствовался. Так, цены на похищенные кредитные карты устанавливались уже дифференцированно в зависимости от страны владельца карты и банка, ее выпустившего, уровня системы безопасности и защищенности карт. Продукт, которым можно было пользоваться дольше, получая большую выгоду, был дороже в цене. Но пока не существует надежной электронной инфраструктуры, которая поможет поймать виртуальных гангстеров. Эксперты говорят о необходимости совершенствования схем фильтрации и авторизации для идентификации реального отправителя электронного сообщения. Необходимо разработать единый стандартный способ уведомления о различных сетевых атаках, чтобы информация о них оперативно доставлялась и правоохранительным органам, и компаниям, которые подверглись атаке. Пока не создано ни программных, ни технических средств, которые могут надежно защитить финансовые компании и их клиентов от киберпреступников. Уже можно насчитать полсотни вариантов панелей для браузеров, которые занимаются блокировкой всплывающих окон с рекламой и пытаются защищать пользователя при работе в сети Интернет. Но пока невозможно прогнозировать развитие и видоизменение угрозы, которая может исходить из компьютерной сети. Поэтому многие компании и не могут определиться в стратегии компьютерной безопасности — как, куда и сколько средств вкладывать. В январе 2005 года фирма Enterprise Strategy Group, которая занимается маркетинговыми исследованиями, провела опрос, в котором участвовал 251 сотрудник отделов информационных технологий предприятий различных видов деятельности и отраслей промышленности. 64% компаний потратили средства на системы безопасности, которые защитили периметр, то есть внешнюю часть их локальной сети и 39% компаний, которые позаботились о внутрисетевой безопасности. Две трети тех и других, несмотря на предпринятые меры, подверглись хотя бы один раз вирусной атаке в течение года. Иногда оказывается проще оплатить расходы и выплатить компенсации жертвам мошенничества, чем вкладывать средства в системы сетевой безопасности. И сегодня такая практика экономически обоснована, потому что компенсационные расходы имеют разовый характер, а инвестиции в информационную и компьютерную безопасность должны быть постоянными. Так, например, один из банков каждый месяц выплачивает один миллион долларов своим клиентам для компенсации ущерба по причине фишинг-атак. Преступные группы, подобные Shadowcrew, будут появляться и в будущем, потому что это просто еще один способ относительно легкого добывания денег, от которого так сложно отказаться. А Всемирная компьютерная сеть позволяет легко объединять усилия и организовывать сотрудничество. Сегодня не требуется быть специалистом широкого профиля: "я хороший хакер, ты умеешь подделывать документы, вон тот парень умеет неплохо мошенничать в Сети — давайте сотрудничать и совершать преступления вместе".
Катерина Грень по материалам зарубежных изданий Baseline, Silicon.com, CNET news
Компьютерная газета. Статья была опубликована в номере 37 за 2005 год в рубрике интернет :: разное