В среду, 1 февраля, российский адвокат Иван Павлов подтвердил: офицерам ФСБ Сергею Михайлову и Дмитрию Докучаеву, а также топ-менеджеру "Лаборатории Касперского" Руслану Стоянову предъявлены обвинения в государственной измене. Это первая официальная информация о нашумевшем деле, в котором до того были лишь "сливы" и конспирологические теории.
Сели на госизмену
13 января газета "Коммерсант" написала со ссылкой на неназванные источники "в ФСБ", в "IT-компаниях" и "близкие к ФСБ" о скорой отставке главы Центра информационной безопасности (ЦИБ) ФСБ Андрея Герасимова.
25 января, снова со ссылкой "на близкие к ФСБ" источники, это же издание сообщило имя и фамилию основных фигурантов расследования: ими оказались начальник Второго оперативного управления ЦИБ Сергей Михайлов и сотрудник "Лаборатории Касперского" Руслан Стоянов. По данным газеты, их задержали еще в начале декабря по подозрению в государственной измене: якобы некий сотрудник ЦИБ получил деньги от иностранной организации при посредничестве российской компании.
Шестью днями позже сайт телеканала Life сообщил об обысках в квартире и загородном доме Михайлова, во время которых оперативники изъяли 12 миллионов долларов – никого, кажется, не смутило, что обыски прошли через два месяца после ареста.
История становится чередой сливов спецслужб через разные СМИ. Сразу после статьи в "Коммерсанте" об аресте Михайлова и Стоянова появляется новая версия – на сайте телеканала "Царьград-ТВ", принадлежащего "православному олигарху" Константину Малофееву, имя которого пресса связывает с финансированием пророссийских сил на Донбассе. Источники "Царьграда" утверждают: Сергей Михайлов был куратором и покровителем хакерской группы "Шалтай-Болтай", взламывавшей почтовые ящики и аккаунты в социальных сетях, принадлежащие политикам и бизнесменам.
Связь с "Шалтаем" стала новой версией причины ареста Михайлова. Ареста показательно театрального: Михайлова якобы вывели с мешком на голове прямо с заседания коллегии ФСБ. 26 января информационное агентство RNS сообщает фамилию третьего задержанного – подчиненного Михайлова Дмитрия Докучаева, а РБК, снова со ссылкой на неизвестные источники, рассказывает его биографию: родился в Екатеринбурге в 1984 году, в IT-мире был известен под псевдонимом Forb. Занимался Forb воровством денег с кредитных карт, попал в поле зрения ФСБ, но его решили не сажать, а взять на работу. Не окончивший Академии ФСБ Докучаев на момент ареста, в 32 года, уже был майором.
28 января "Росбалт" назвал имя четвертого задержанного: "журналиста" Владимира Аникеева. По данным издания, он и был руководителем группы "Шалтай-Болтай", скрывавшимся под псевдонимом Льюис. По информации "Росбалта", задержали его еще в октябре 2016-го, и именно Аникеев-Льюис дал показания на своих кураторов из ФСБ. Версия сотрудничества с "иностранной организацией", с которой все начиналось, постепенно стала забываться.
Общедоступных доказательств того, что аресты Аникеева и офицеров ФСБ связаны, что Владимир Аникеев и Льюис – это одно лицо, тем временем не появлялось.
31 января стало известно об аресте еще двух человек по "делу Михайлова-Докучаева-Стоянова". Это Константин Тепляков и Александр Филинов. Их обвиняют в "неправомерном доступе к компьютерной информации". По данным "Коммерсанта", они были помощниками Аникеева, которых он сдал после ареста вместе с Михайловым и Докучаевым.
Киберчекисты
ЦИБ ФСБ, 18-й центр, – специализированное подразделение ФСБ, которое занимается информационной безопасностью и киберпреступностью. ЦИБ получил скандальную известность в 2010 году, во время расследования уголовного дела против Павла Врублевского, владельца компании интернет-платежей Chronopay. По мнению следствия, Врублевский организовал DDoS-атаки на сервер конкурентов – систему платежей Assist, из-за чего пострадал самый крупный клиент Assist, компания "Аэрофлот", на сайте которой в течение недели невозможно было оплатить билеты. В июле 2013 года Врублевского приговорили к двум с половиной годам тюрьмы. Он до сих пор называет дело сфабрикованным, более того, среди материалов, которые рассматривал Тушинский районный суд, была найденная на столе секретаря Врублевского записка: "Слили нас в ЦИБ ФСБ, Сергей Михайлов". Сам Михайлов подтвердил на суде давнее знакомство и сотрудничество с Врублевским, а тремя годами позже оказался в том же СИЗО "Лефортово".
"Новая газета" связывает имя Врублевского с атаками на избирательные системы в американских штатах Аризона и Иллинойс, о которых газета The New York Times написала в сентябре 2016 года, обвинив в них 26-летнего жителя Бийска Владимира Фоменко. По данным "Новой газеты", Фоменко арендовал серверы у некоей голландской компании, принадлежащей Врублевскому. Сам Фоменко факт сотрудничества опроверг (как и свое участие в хакерских атаках), Врублевский отказался отвечать на вопросы Радио Свобода.
Тимур (имя изменено по просьбе собеседника), топ-менеджер одной из крупных российских хостинговых компаний, рассказал Радио Свобода, что с департаментом Сергея Михайлова он, как и владельцы других аналогичных фирм в сфере IT, начал сотрудничать еще в конце 2000-х. "Мне стали звонить из приемной ФСБ (номер я проверил в интернете), но я не поднимал трубку – никаких официальных запросов от ФСБ нам тогда не поступало, – вспоминает Тимур. – Тогда они стали звонить всем возможным родственникам, супруге и говорить, что я должен немедленно с ними связаться, что это дело государственной важности. Я молодой тогда был, свои права не знал, конечно, я к ним пошел".
По словам молодого человека, сначала его пытались запугать, сказали, что на его компанию пришел запрос от ФБР, но они ответили американцам, что фирма легальная ("Мы работали официально, но как зарубежное юрлицо", – уточняет Тимур). Потом предложили сотрудничество. Поначалу все было условно в рамках закона, люди Михайлова просили информацию о сомнительных клиентах Тимура, которую могли бы получить и с помощью официальных запросов. "Мы старались держать их в рамках, – говорит Тимур. – Когда они попросили данные по одному региональному оппозиционному сайту, мы ответили, что у нас на них ничего нет".
Очень быстро, впрочем, запросы изменились: "В начале 2010-х вошли в моду DDoS-атаки, с помощью которых стали разбираться с конкурентами. Стоило это примерно тысячу долларов в сутки. Тогда многих из тех, кто сотрудничал с ЦИБом, начали привлекать для установки контактных данных и платежных реквизитов людей, предоставляющих эти услуги, выманивая их под видом клиентов. Но как я быстро понял, сажать они их не собирались", – рассказывает Тимур.
В 2012-м массированной DDoS-атаке подвергся сайт ИД "Коммерсант", а в 2013-м сайт журнала The New Times. По мнению Тимура, сделали это "специалисты" по DDoS, на которых с помощью своих внештатных помощников вышел ЦИБ ФСБ. "Если в начале нашего сотрудничества ребята в ЦИБ вообще ничего не понимали в IT и постоянно консультировались с представителями отрасли по техническим вопросам, то через несколько лет там уже работали обычные айтишники и бывшие хакеры, которые изначально никакого отношения к спецслужбам не имели. Одного из них звали Димой, я не видел фотографии арестованного Докучаева, но думаю, что это он", – говорит Тимур.
Коллеги описывали Михайлова как "безбашенного" и "оторванного", говорили, что он любит лично ездить на задержания, "класть всех лицом в пол"
С руководителем службы Сергеем Михайловым Тимур не знаком, он общался лишь с "кураторами", которые описывали своего начальника как "безбашенного" и "оторванного", говорили, что он любит лично ездить на задержания, "класть всех лицом в пол" и коллеги его не очень любят. При этом Михайлов часто ездил не только на IT-мероприятия в России, где общался с руководством всех крупных компаний – от "Лаборатории Касперского" до Microsoft. Судя по рассказам коллег, он контактировал и с американскими спецслужбами.
По словам источника Радио Свобода, Михайлов создал целую армию айтишников, которые работали на ФСБ – кто-то за гонорары, кто-то под угрозой уголовного преследования. Работа с хостинговыми компаниями и дата-центрами привела к тому, что под контролем ЦИБ оказался практически весь российский интернет.
Одним из служебных контактов Сергея Михайлова был и сотрудник "Лаборатории Касперского" Руслан Стоянов. Его называли "начальником орков". "ОРКИ" – так в обиходе именовали "Отдел расследования киберинцидентов" в "Лаборатории". Этот отдел Стоянов создал с нуля в 2012 году, причем в течение года компания его создание не афишировала. Вместе со Стояновым в "Лабораторию Касперского" пришли и несколько его коллег из управления "К" МВД РФ (занимается преступлениями в сфере компьютерной безопасности – КР), где Стоянов работал с 2000 по 2006 год, дослужившись до майора. Уволившись из органов, Стоянов работал сначала в одной из дочерних фирм "Ростелекома" – РТКОММ, потом в компании "Индрик", которая, по сведениям "Новой газеты", занималась защитой от DDoS-атак.
Не болтай!
Адвокат Иван Павлов сообщил "Интерфаксу", что не заметил в материалах дела, в которое он вошел в качестве защитника, никаких упоминаний "Шалтая-Болтая". На сегодняшний день известно об аресте шести человек: Сергея Михайлова, Дмитрия Докучаева, Руслана Стоянова, Владимира Аникеева, Александра Филинова и Константина Теплякова. Являются ли они фигурантами одного дела, с уверенностью сказать нельзя: первым трем предъявлены обвинения в госизмене, остальным – в обычном хакерстве. По одной из версий, эти дела все-таки связаны.
По сведениям "Царьграда" и "Росбалта", Аникеев поделился материалами взломанной рабочей почты Владислава Суркова с опубликовавшей ее группой украинских хакеров "КиберАльянс", что и стало последней каплей для принимавших решение о его задержании. Пресс-секретарь "КиберАльянса", скрывающийся за псевдонимом Шон Таунсенд, утверждает, что украинские хакеры взломали почтовые ящики приемной Суркова сами.
"Я опровергаю любую связь Аникеева и "Шалтая-Болтая" с "КиберАльянсом", – сказал Таунсенд в интервью Радио Свобода. – Полагаю, что "Шалтая" принесли в жертву, чтобы размыть связь между взломом почты Демократической партии США и российскими спецслужбами. От Михайлова и Докучаева подробности этих атак утекли к Стоянову из "Лаборатории Касперского", а от него – к западным спецслужбам".
По версии Таунсенда, Михайлов и Докучаев курировали "Шалтай-Болтай", причем не с начала его деятельности, а с лета 2016 года, когда информация о "российском следе" во взломе почты Демократической партии США просочилась в прессу. Украинские "хактивисты" (как они сами себя называют) уверены, что хакерские атаки во время президентской кампании в США – плод совместных усилий ФСБ и Администрации президента России. Таунсенд полагает, что выполнены они были сетью, состоящей из нанятых на время хакеров и завербованных агентов.
Льюис в зазеркалье
Кто он, человек, якобы являющийся главой "Шалтая-Болтая"?
В социальных сетях есть несколько аккаунтов, принадлежащих Владимиру Аникееву, стало известно из статьи "Росбалта". В "Фейсбуке" и "ВКонтакте" у него примерно по 50 друзей (со времени первой публикации его имени в СМИ их число заметно сократилось).
Одним из друзей Аникеева в "Фейсбуке" оказался адвокат Руслан Коблев, представлявший в 2006 году интересы обвиняемых на процессе по делу об убийстве редактора русской версии журнала Forbes Пола Хлебникова. В телефонном разговоре Коблев подтвердил Радио Свобода, что лично знает Аникеева, но отказался отвечать на вопрос, является ли он его адвокатом, предложив обратиться к нему с этим вопросом позже.
Официального подтверждения того, что Владимир Аникеев из статьи "Росбалта", человек, который находится в СИЗО "Лефортово", и Льюис из "Шалтая-Болтая" – одно лицо, до сих пор нет. Впрочем, многочисленные цифровые следы, оставленные Аникеевым в интернете, позволяют с высокой долей вероятности утверждать, что Аникеев действительно пользовался псевдонимом Льюис и был тесно связан с информационной безопасностью.
В записях Аникеева на странице "ВКонтакте" несколько раз упоминается его жена Зина – речь идет о киевлянке Зинаиде Аникеевой (Козловой), фитнес-тренере. Life.ru опубликовал материал о ее допросе российскими правоохранительными органами в связи с задержанием Владимира Аникеева, с самой Зинаидой Радио Свобода поговорить не удалось.
С 2012 года Аникеев регулярно ездит в Таиланд, где вместе с женой проводит несколько месяцев (в Бангкоке с ним встречался корреспондент "Медузы" Даниил Туровский). В декабре 2014-го Владимир сообщает на своей странице, что им с Зиной удалось снять дом в таиландской Паттайе (судя по фото, не слишком дорогой). Почти в то же время в сообществе для русскоязычных жителей Таиланда появляется запись самой Зинаиды с рекламой частных уроков пилатеса и йоги. Сегодня Владимир и Зинаида, если верить Life.ru, разведены.
Есть множество косвенных указаний на то, что Туровский мог встречаться в Таиланде именно с Аникеевым: как минимум на одной фотографии он носит шляпу, напоминающую ту, что сфотографировал журналист, кроме того, заметная часть записей Аникеева посвящена употреблению алкогольных напитков. "Он достает из сумки небольшую бутылку джина, отхлебывает", – рассказывает в репортаже Туровский. Очевидна и любовь Аникеева к Льюису Кэрроллу: на своей странице "ВКонтакте" он цитирует его произведения в пять раз больше, чем любого другого автора.
Куда более весомые доказательства можно найти среди почти двух тысяч комментариев, которые человек под псевдонимом Vladimir Anikee (таким же, без последней буквы, является его ник в сети "ВКонтакте") оставил за три года на форуме русскоязычных жителей Паттайи "Паттаевка".
Собеседникам по русскоязычному тайскому форуму Аникеев регулярно давал понять, что свободно чувствует себя в финансовом отношении. "Я в 2012 году только на сигары потратил 135 или 133 тысячи рублей (подсчет по карте)", – пишет он в одном комментарии, а в другом выкладывает скриншот из своего интернет-банка, согласно которому за октябрь 2014 года Аникеев потратил в общей сложности миллион рублей. При этом Зинаида Аникеева в разговоре с российскими следователями заявила, что жили они достаточно скромно.
Любопытно, что Радио Свобода не удалось найти ни единого свидетельства, которое бы указывало на то, что Аникеев серьезно разбирается в компьютерном взломе или обладает какими-то выдающимися техническими навыками, – в своих записях он предстает человеком, далеким и от хакерства, и от серьезной конспирации.
Детали процесса по делу офицеров ФСБ, скорее всего, останутся неизвестны широкой публике. Больше надежды узнать что-то о Владимире Аникееве-Льюисе и других обвиняемых по "легким", чем госизмена, статьям – если, конечно, процесс не объявят закрытым из-за присутствия в деле сведений, составляющих государственную тайну. Пока что спецслужбы скрывают Льюиса в "Лефортово", о продлении ему ареста Лефортовским судом становится известно постфактум, неизвестен его адвокат, его не посещали члены общественной наблюдательной комиссии (ОНК), но может быть, когда-нибудь мы сможем узнать, как простые хакеры могли вскрывать почтовые ящики высокопоставленных чиновников, без помощи спецслужб или с ней, и чем на самом деле прогневали Кремль их кураторы из ЦИБ ФСБ – передачей деталей об участии России в хакерских атаках на США или чем-то еще.
FACEBOOK КОММЕНТАРИИ: