Министерство юстиции США объявило в розыск известного российского хакера Михаила Матвеева, а Госдеп назначил награду в 10 миллионов долларов за информацию, которая помогла бы его поймать. При этом Россию в департаменте обвинили в том, что страна стала «безопасной гаванью» для киберпреступников: уже больше года Матвеев не скрывает своего лица и не отрицает связи с крупнейшими группировками «русских хакеров».
Матвеева обвиняют в связях сразу с тремя киберпреступными группировками (Babuk, LockBit и Hive), каждая из которых хорошо известна за пределами России, а особенно — в США. Все они управляли программами-вымогателями, которыми заражали системы жертв (как правило, крупных компаний), блокировали доступ к ним, после чего требовали выкуп за разблокировку.
В официальном пресс-релизе Минюста США указаны суммы заработка хакерских объединений, с которыми работал Матвеев. За время сотрудничества с россиянином они потребовали у своих жертв около 400 миллионов долларов выкупа, из которых им удалось получить около 200 миллионов долларов. При этом самого Матвеева Минюст США называет «ключевым игроком в российской экосистеме программ-вымогателей».
«Находясь в России, Матвеев использовал несколько вариантов программ-вымогателей для атак на критически важную инфраструктуру по всему миру, включая больницы, правительственные учреждения и организации из других секторов», — сказал помощник генерального прокурора США Кеннет Полите-младший.
31-летний Матвеев был объявлен в розыск в США за несколько конкретных атак. В частности, прокуратура полагает, что в июне 2020 года он с помощью программы-вымогателя Hive атаковал полицию одного из округов штата Нью-Джерси, а в мае 2022-го в том же штате его жертвой стала некоммерческая организация по охране психического здоровья. Между двумя этими атаками, весной 2021 года, Матвеев с помощью программы Babuk напал на полицейское управление Вашингтона.
Матвеев, известный в даркнете под никами Wazawaka, Babuk, BorisElcin, unc1756 и Orange, уже отреагировал на включение в список самых разыскиваемых Федеральным бюро расследований (ФБР) США киберпреступников в своем аккаунте в Twitter.
Другой известный российский киберпреступник, известный под ником Bassterlord, в комментариях похвалил Матвеева. «Хорош-хорош, на доске почета», — написал он.
То, что у ФБР есть фотографии Матвеева, — вовсе не заслуга следователей. В январе 2022 года Wazawaka деанонимизировал известный западный журналист Брайан Кребс. Он специализируется на составлении логических цепочек из данных открытых или платных источников. В частности, Кребс любит сопоставлять данные о паролях электронных почт и IP-адресах, которые в разное время попали во взломанные и слитые базы данных. В последние годы журналисту удалось таким образом выйти на след нескольких хакеров и кибермошенников глобального масштаба.
Формальным поводом для расследования Кребса послужило то, что в 2020 году Wazawaka заявил, что имеет отношение к крупной группировке DarkSide, в которую входили в том числе русскоязычные хакеры. DarkSide ответственна за многочисленные атаки на американскую инфраструктуру, в том числе на трубопровод Colonial Pipeline. Это нападение парализовало несколько регионов США и спровоцировало топливный кризис.
В ходе расследования Кребсу очень помогло характерное для 2000-х пренебрежительное отношение российских киберпреступников к безопасности: некоторые хакеры продолжали использовать аккаунты, которые регистрировались без использования VPN или других программных средств сокрытия места пребывания. Сопоставив данные из утечек, Кребс вышел на жителя Абакана Михаила Матвеева, обнаружив также его страницы в соцсетях, номера телефонов и даже некоторых родственников.
Wazawaka практически незамедлительно отреагировал на деанонимизацию, опубликовав на связанных с ним аккаунтах сразу несколько видеороликов. В них Матвеев, активно используя ненормативную лексику, похвалил Кребса за проведенное расследование и дал понять, что планирует и дальше атаковать американские компании, а также показал татуировку ниже локтя на правой руке и отсутствующий безымянный палец на левой.
Соединенные Штаты, как правило, достаточно легко экстрадируют из дружественных им стран любых преступников, против которых были выдвинуты официальные обвинения. Однако с Россией такого соглашения нет. Кроме того, свою лепту вносит и напряженность в отношениях между Москвой и Вашингтоном. Более того, в западных медиа Россию открыто называют пристанищем для хакеров и киберпреступников разных мастей.
«Хакеры и кибермошенники объединяются с обычными преступными группировками и часто находят убежище в государствах-изгоях. Я говорю в первую очередь о России», — заявила заместитель генерального прокурора США Лиза Монако.
При этом Матвеев в целом не стесняется контактов с западной прессой. В августе 2022 года он дал большое интервью The Record, в котором рассказал о сугубо технических деталях организации некоторых своих атак и взаимоотношениях с коллегами. Также он упомянул, что его сначала повергло в шок достигнутое летом 2021 года соглашение между президентами США и России Джо Байденом и Владимиром Путиным о взаимопомощи и совместной борьбе с киберпреступностью.
«Я чуть не обосрался, когда это произошло, начал много пить. Но потом я изучил законодательство и понял, что Россия не будет выдавать меня Америке в случае поимки. А потом началась специальная военная операция [которая усложнила отношения между странами], и я был чертовски рад этому, — сказал Матвеев. — Если ФБР и ФСБ однажды начнут сотрудничать друг с другом — мне конец».
Матвеев — далеко не единственный хакер из России, за помощь в поимке которого в США пообещали награду в 10 миллионов долларов. Ранее американский Минюст предъявил официальные обвинения в мошенничестве и отмывании денег Денису Кулькову и пообещал тем, кто поспособствует его аресту, аналогичную награду. Следователи считают его основателем сервиса Try2Check, с помощью которого можно было проверять валидность украденных кредитных карт. О каком-либо интересе российских правоохранительных органов к Кулькову не сообщалось.
Всего же в списке самых разыскиваемых ФБР киберпреступников несколько десятков россиян. Некоторые из них в США напрямую называются сотрудниками Главного управления Генштаба ВС РФ (прежнее название — ГРУ). Им вменяют разведывательные операции на территории США с применением киберпреступных технологий. Однако большая часть так или иначе пыталась заработать на создании или внедрении вредоносных программ.
Например, Максим Якубец, по мнению американских властей, был одним из пользователей созданного в 2007 году трояна Zeus, который помогал своим создателям красть данные клиентов крупнейших банков Европы. Нанесенный им ущерб составил, по самым скромным оценкам, 36 миллионов долларов. Позднее Якубец возглавил крупную хакерскую группировку Evil Corp и, по состоянию на 2019 год, якобы жил в Москве.
Другим известным фигурантом списка стал Евгений Полянин, которого в США считают одним из лидеров разгромленной в начале 2021 года группировки REvil. Американские следователи считают его причастным к вымогательству более 13 миллионов долларов, однако реальный размах деятельности хакерского объединения может быть куда более шокирующим.