ФСБ давно и тесно сотрудничает с представителями криминального мира — спецслужба вербует бандитов, внедряется в ОПГ и при служебной необходимости защищает подконтрольных преступников и банды. Хакеры не стали исключением: известно, что многие хакерские группировки находятся под влиянием спецслужб или даже выполняют их задания. Схемы и последствия такого сотрудничества можно проследить на примере судьбы начальника 2-го управления ЦИБ ФСБ полковника Сергея Михайлова и связанных с ним уголовных дел: его собственного о госизмене, а также дел «Шалтая-Болтая» и владельца платежной системы Chronopay Павла Врублевского.
Сотрудники ФСБ привлекают хакеров к самым разным задачам: от простого шантажа в личных или оперативных целях до участия в клановых войнах с представителями других спецслужб или даже вмешательства в политику иностранных государств. Как и в случае с обычными преступными группировками, власть в определенной степени позволяет им существовать в обмен на сотрудничество по ключевым для Кремля вопросам — таким как получение доступа к зашифрованной информации других стран c неофициальным использованием технических возможностей спецслужб. До определенного момента это партнерство позволяло российским властям, находившимся под давлением международных санкций, оказывать беспрецедентное влияние на политическую ситуацию в западных странах. Однако в то же время подобное «крышевание» хакеров начинает само по себе представлять угрозу национальной безопасности в тех случаях, когда этот ресурс используется различными спецслужбами для атак друг на друга или для вмешательства во внутриполитические процессы. Более того, выгоды, полученные от взлома заграничных объектов в рамках служебных задач, сходят на нет после того, как публично выявляются факты российского вмешательства.
Хакерская группировка «Шалтай-Болтай» (также известная как «Анонимный интернационал») заявила о себе в конце 2013 года, выложив в сеть текст новогоднего обращения Владимира Путина за несколько часов до того, как оно вышло в эфир. В течение следующих трех лет хакеры публиковали переписки высокопоставленных чиновников и лиц, приближенных к Кремлю, торговали данными и даже взломали Twitter-аккаунт Дмитрия Медведева. Одним из первых под удар попал бизнесмен Евгений Пригожин, за ним последовали экс-глава ДНР Игорь Стрелков-Гиркин, люди из окружения православного олигарха Константина Малофеева, вице-премьеры Аркадий Дворкович и Игорь Шувалов, замначальника Управления внутренней политики АП Тимур Прокопенко, пресс-секретарь Медведева Наталья Тимакова, сотрудница министерства обороны Ксения Большакова, глава Роскомнадзора Александр Жаров, телеведущий Дмитрий Киселев и издатель Арам Габрелянов. В ответ государство до определенного момента предпринимало лишь эпизодические попытки блокировать ресурсы группировки.
Как утверждает источник Центра «Досье» (s4), участвовавший в независимом расследовании, проводившемся международной командой по заказу лица, пострадавшего от хакеров в 2016 году, одним из основных кураторов и вдохновителей проекта являлся Алексей Разоренов — владелец нескольких петербуржских СМИ. Разоренов мог познакомиться с другим участником группы Владимиром Аникеевым по кличке «Льюис», когда последний работал в принадлежащей Разоренову «Новой Газете в Санкт-Петербурге». Именно там Аникеев оттачивал навыки сбора компромата, который затем использовался для шантажа, продажи конкурентам или публикации в СМИ в рамках различных «проектов», разрабатываемых Алексеем Разореновым с коллегами. У Разоренова был стабильный пул заказчиков среди влиятельных чиновников и бизнесменов. По словам источника, в разное время к его услугам прибегали Валентина Матвиенко в бытность губернатором Петербурга, несколько сенаторов, вице-губернаторы, топ-менеджеры госкорпораций, например, «Газпрома», высокопоставленные чиновники из силовых министерств и ряд предпринимателей федерального уровня. Сам Аникеев признавался в интервью «Медузе», что «Шалтай-Болтай — лишь побочный проект других игр». «Основная их работа — поиск информации по заказу частных и официальных лиц», — утверждало издание.
«Он ходил в ФСБ, как на работу. Договаривался там с начальниками и с решалами от разных отделов. По моей информации, это были управление „К“ времен Виктора Воронина и позже Кирилла Черкалина, Департамент военной контрразведки, Вторая служба».Один из участников группировки Константин Тепляков также рассказывал, что с определенного момента хакеры были тесно связаны с ФСБ:
«С августа 2015 года он [Аникеев] плотно сотрудничал с ФСБ <…> Доказательства этому были, он привозил инструкции по работе, требования какое-то дело запустить, какое-то — прекратить. Это были словесные рекомендации».Именно в августе 2015 года «Шалтай-Болтай» инициировал ставшую впоследствии роковой публикацию писем из почтового ящика Ксении Большаковой, бессменной помощницы тогдашнего руководителя Департамента строительства Министерства обороны, бывшего вице-губернатора Санкт-Петербурга Романа Филимонова. Большакова трудилась у Филимонова на секретарских должностях еще со времен его работы в Комитете по строительству Петербурга в 2005—2009 годах и была осведомлена о большинстве его дел, включая ряд коррупционных схем.
«Кураторство „Шалтая-Болтая“ Разореновым могло происходить при прямом участии Королева. „Шалтай“ отработал по нужным для Королева целям: атаковал людей, связанных с ГРУ — Пригожина, возможно, Стрелкова-Гиркина, — скомпрометировал Медведева и ряд людей из его окружения, добился снятия главы департамента военной контрразведки ФСБ Александра Безверхнего, доклад которого вызвал смещение Сердюкова с поста министра обороны, то есть отомстил за бывшего шефа. После этого группу, похоже, решили прикрыть, но использовали в последний раз, чтобы подставить замначальника ЦИБ Сергея Михайлова, за которым как раз уже длительное время вело наблюдение возглавляемое Королевым УСБ», — рассказывает источник (s4).Сергей Михайлов — начальник 2-го управления ЦИБ ФСБ — официально появился в истории «Шалтая-Болтая» в 2016 году. После того как перед ФСБ была поставлена задача найти хакеров, он довольно быстро вышел на Разоренова, и тот познакомил его с выполнявшим роль лидера группировки Аникеевым-Льюисом. Как минимум с начала весны 2016 года «Шалтай» работал уже с Михайловым. Последний и сам рассказывал о своем знакомстве с хакерами. Так, по словам председателя «Лиги безопасного интернета» Дениса Давыдова, весной 2016 года Михайлов сообщил ему, что группировка раскрыта, однако «якобы пришло указание, в том числе курирующим заместителям директора службы и в Центр информационной безопасности, что ситуация под контролем и дальше ее развивать нет необходимости». Под контролем Михайлова группа опубликовала несколько переписок не самых известных бизнесменов и чиновников, а также медиаменеджера Арама Габрелянова. Сотрудничество с Михайловым продлилось недолго: в ноябре 2016 года Владимир Аникеев оказался за решеткой. По словам источника Центра «Досье» (s4), Разоренов пригласил проживавшего на тот момент в Киеве Аникеева в Россию на встречу с Михайловым, дав гарантии безопасности. Когда же Аникеев прибыл на родину, его задержали. На задержание одного из участников группировки приезжал подчиненный Михайлова майор ФСБ Дмитрий Докучаев — он осматривал телефон задержанного и, убедившись, что там нет переписок с сотрудниками ФСБ, уехал. Впрочем, сотрудникам ЦИБ это не помогло. Аникеев пошел на сделку со следствием и дал показания, в частности, на самого Михайлова. Последнего арестовали спустя месяц, в декабре 2016 года, причем задержание произошло на одном из внутренних заседаний ведомства в присутствии директора ФСБ Александра Бортникова. Как оказалось, многие нужные оперативникам доказательства Михайлов, считавшийся специалистом в области кибербезопасности, хранил прямо на рабочем компьютере. Вместе с Михайловым под уголовное преследование попали его подчиненный Дмитрий Докучаев, бывший сотрудник «Лаборатории Касперского» Руслан Стоянов и Георгий Фомченков, который также мог быть сотрудником ФСБ. Формально это дело не было связано с уголовным преследованием «Шалтая» — Михайлова арестовали за госизмену. По версии следствия, он и его напарники с 2007 года передавали американским спецслужбам оперативные документы по делу владельца платежного сервиса Chronopay Павла Врублевского.
Врублевский обвинялся в организации в 2010 году DDoS-атаки на конкурирующую платежную систему Assist, из-за чего был заблокирован доступ к покупке билетов «Аэрофлота». Сергей Михайлов и Дмитрий Докучаев участвовали в расследовании дела, в то время как «Лаборатория Касперского» проводила техническую экспертизу.
Спустя шесть лет Михайлова обвинили в том, что он записал материалы дела на диски, а его подчиненный Докучаев передал их работавшему в «Лаборатории Касперского» Руслану Стоянову, который отправился на конференцию в Канаду. В итоге диск оказался у сотрудницы американской компании iDefence Кимберли Зенц. Та, в свою очередь, согласно обвинению, передала эту информацию ЦРУ.
«Кимберли Зенц в разговоре с РБК сообщила, что к ней обращался Александр Гусак, адвокат одного из задержанных — Руслана Стоянова. „Он интересовался деталями моей жизни, нашим общением с Русланом Стояновым и спрашивал, платила ли я ему или кому-то еще за информацию от российских государственных органов, — рассказала Зенц. — Я этого никогда не делала. Я не работаю на ЦРУ, никогда не передавала им информацию и не была правительственным агентом какого-либо государства. Я также заявила о своей готовности дать показания российским правоохранительным органам, и они знают, как со мной связаться, но не делали этого“. Адвокат Руслана Стоянова Александр Гусак подтвердил РБК, что Кимберли Зенц дала ему письменные показания и они переданы следствию». (РБК)
Впрочем, это могло быть лишь поводом для начала уголовного преследования. О том, что Михайлов передает сведения на Запад, российским спецслужбам было известно как минимум за шесть лет до его ареста. Как пишет The Bell со ссылкой на ранее служившего в СВР Дмитрия Бурых, по заданию Павла Врублевского он собирал компромат на Михайлова задолго до предъявления ему официальных обвинений. О сотрудничестве Михайлова с западными спецслужбами он узнал и сообщил в правоохранительные органы еще в 2010 году, однако реакции тогда не последовало.
По информации источника Центра «Досье» (s4), Кимберли Зенц, получавшая диски, сама могла быть завербована СВР. Эта версия может объяснить, как отставному сотруднику СВР Дмитрию Бурых удалось отследить передачу документов в Канаде. Кроме того, представляется маловероятным, что Зенц, сотрудничающая с ЦРУ, выразила бы готовность приехать в Россию для допроса.
Реальные причины ареста группы Михайлова могли отличаться от тех, что легли в фабулу уголовного дела. Предположительно, арест участников «Шалтая-Болтая» могло инициировать ГРУ. Два ведомства нередко конфликтовали с друг другом и, в частности, конкурировали за бюджеты. Некоторые офицеры ГРУ подозревали, что сотрудники ФСБ могли стоять за утечкой данных 79 заграничных резидентов ГРУ в 2014 году. Атаки хакеров на Министерство обороны дополнительно обострили конфликт.
По приказу министра обороны Сергея Шойгу ГРУ взялось за расследование «Анонимного интернационала». Когда заместитель начальника ГУ Генштаба РФ генерал Сергей Гизунов, возглавлявший оперативную группу, установил участников группировки, они уже сотрудничали с полковником ФСБ Михайловым. Таким образом, ГРУ представилась возможность не только разоблачить непосредственных обидчиков, но и уличить ФСБ в атаках на конкурирующее ведомство. Шойгу доложил об успехе Владимиру Путину, а тот вызвал на ковер Александра Бортникова. Этим может объясняться личное участие главы ФСБ в задержании Михайлова.
Среди неформальных причин ареста СМИ называли и версию о том, что Михайлов мог передать американским спецслужбам сведения о взломе российскими хакерами сервера Демократической партии США. Очевидно, что официально предъявить такое обвинение сотруднику ФСБ было невозможно, поскольку это подтверждало бы вмешательство российских властей в американские выборы. Возможно, именно поэтому в правоохранительных органах вспомнили про старый компромат. Врублевский, предоставивший эти материалы, спустя шесть лет стал свидетелем обвинения по делу Михайлова.
По информации издания The Bell, взломов было два: один совершался по заказу ФСБ, другой — ГРУ. Хакеры ГРУ были хуже подготовлены и оставили после себя свидетельства вторжения.
«О противостоянии между ГРУ и ФСБ говорится и в отчете американской компании Crowdstrike — именно ей DNC в прошлом году заказал расследовать атаки на свои серверы. Об итогах своей работы Crowdstrike объявила в июне 2016 года (американские спецслужбы впервые подтвердили выводы компании о том, что к атакам якобы причастна Россия, только в октябре).
Главной сенсацией расследования Crowdstrike стало то, что серверы DNC, как оказалось, были взломаны не один, а два раза. Впервые это произошло еще летом 2015 года, когда успешную атаку на DNC провела группа хакеров, которую Crowdstrike связала с ФСБ. Но эта операция была проведена так аккуратно, что почти год сотрудники DNC о ней даже не подозревали. Следующая атака, как пишет Crowdstrike, была проведена весной 2016 года и предположительно осуществлялась по заказу ГРУ. Ее заметили американские спецслужбы и предупредили DNC".
Первый взлом также мог осуществляться с участием Михайлова. По сведениям источника (s4), кроме «Шалтая», под контролем Михайлова была и другая группировка хакеров. Она, в отличие от «Анонимного Интернационала», никак не участвовала в публичной политической жизни России, а использовалась для «серьезных» задач: от шантажа крупных корпораций до взломов зарубежных серверов, в том числе и Демократической партии США. В нее входил другой фигурант дела Михайлова Дмитрий Докучаев.
«В феврале суд Северного округа Калифорнии обвинил его в участии в одной из самых крупных хакерских атак в мировой истории. Речь идет о взломе в 2014 году по меньшей мере 500 млн аккаунтов Yahoo! Пособниками Докучаева суд назвал майора ФСБ Игоря Сущина и хакеров Алексея Белана (того самого, который попал под американские санкции после взлома DNC) и Карима Баратова. Пока единственный задержанный по этому делу — 21-летний гражданин Канады Баратов, который в ноябре признался в работе на ФСБ и сообщил, что взломанные данные передавал за деньги Докучаеву», — сообщает The Bell.
Таким образом, аресты Сергея Михайлова и его подельников решали для ФСБ важную задачу. Очевидно, что, участвуя в хакерских атаках на зарубежные страны, сотрудники ФСБ действовали не по собственной инициативе, а по заданию властей страны, однако конкуренция между ФСБ и ГРУ поставила эти операции на грань раскрытия. Арест Михайлова и его команды исключал риск дальнейших утечек информации, которые могли еще больше усугубить международные скандалы, связанные со взломами.
Экс-полковник ФСБ Сергей Михайлов получил 22 года колонии строгого режима. Также он был лишен офицерского звания и ордена «За заслуги перед Отечеством» I-й степени. Его заместитель Дмитрий Докучаев получил 6 лет лишения свободы. Сотрудника «Лаборатории Касперского» Руслана Стоянова приговорили к 14 годам тюремного заключения. Участники «Анонимного интернационала» Владимир Аникеев и Константин Тепляков, пошедшие на сделку со следствием, были приговорены к двум и трем годам колонии соответственно. Третий из арестованных в России участников группы, Александр Филинов, также получил три года колонии, так и не признав свою вину. Возможный лидер хакерской группировки Алексей Разоренов и вовсе избежал уголовного преследования. По словам источника (s8), после того как Разоренов выманил Аникеева в Россию для задержания, он скрылся за границей и долгое время не возвращался на родину. Тем не менее спустя некоторое время ему удалось решить вопрос. Разоренов также наладил отношения с Аникеевым, который угрожал раскрыть его роль в «Шалтае» и написать книгу — он вновь взял его под свою финансовую опеку. В настоящий момент бывшие участники «Анонимного интернационала» вернулись к старой деятельности и создали телеграм-канал BlackMirror, где выкладывают переписки российских предпринимателей и чиновников.
Суд досрочно освободил бывшего сотрудника ФСБ Дмитрия Докучаева, осужденного за госизмену. 2019 году он был осужден на шесть лет колонии строгого режима.
