Когато съоснователят на изгряващата руска компания Group-IB Иля Сачков започва публично да говори за киберпрестъпления през юни 2020 г., това се възприема за смел, но рисков ход в една сфера, характерна с размитите граници между престъпници и служби за сигурност.
В разговор с министър-председателя на Русия Сачков си позволява да назове човека, който стои зад известен вирус, използван за заключване на компютри с цел изнудване - Максим Якубец.
Когато Сачков прави това, той е наясно, че шест месеца по-рано ФБР е обвинило Якубец в тежки киберпрестъпления. Вероятно е знаел също, че тъстът на Якубец е бивш офицер от Федералната служба за сигурност на Русия (ФСБ).
Според експерти именно това е и вероятната причина Сачков да бъде арестуван и обвинен в държавна измяна през септември 2021 г.
В момента той е зад решетките в очакване на съдебния си процес, но това не му пречи отново да направи смел, но рискован ход. Негови приближени пуснаха в Телеграм видео, на което той е заснет как влиза във ФСБ и вика по име двама високопоставени служители там.
Става въпрос за ръководителя на главното киберподразделение на службата и предишния директор на отдела, който в момента излежава 22-годишна присъда затвор за държавна измяна.
"Намирам го за стратегическо. Много е интересно, че излезе", коментира пред Радио Свободна Европа видеото Алекзандър Лесли, анализатор в базираната в САЩ компания за киберсигурност Recorded Future.
По думите му, преди да бъде арестуван, Сачков "назова имената на киберпрестъпници, които открито са сътрудничили, както той твърди, с ФСБ и със службите за сигурност".
"Мисля, че много хора, особено тези, които изучават руската политика и руската киберпрестъпност, уважават Сачков заради изявленията му", казва Лесли. "Защото e изключително рядко някой, който разкрие нещо подобно, след това да се справи с реакцията, която вероятно ще последва."
Сачков и руската технологична индустрия
През септември 2021 г. агенти на ФСБ нахлуват в московските офиси на Group-IB, изземвайки сървъри и документи. Тогава те задържат и Сачков, който е трябвало да бъде извън страната, но се е върнал по неясни причини.
Арестът му стъписва мнозина. Случилото се предизвиква критики от висши представители на руския бизнес, включително от президентския комисар за защита на правата на предприемачите.
В продължение на години Русия се опитва да развива своя собствена технологична индустрия, борейки се да овладее огромния интелектуален потенциал на своите програмисти и инженери, особено хакерите и специалистите по киберсигурност.
Kaspersky Lab беше пример за една местна технологична компания, която става глобална. До 2017 г., когато правителството на САЩ я обвини, че е сътрудничила с ФСБ и забранява нейният софтуер да се ползва на правителствени компютри. Германия и Италия последваха този пример през 2022 г.
Междувременно Group-IB започва да трупа популярност. Като потвърждение за успеха ѝ през февруари 2019 г. президентът Владимир Путин връчва на Сачков награда за млади предприемачи.
"Започнахме с разследвания на високотехнологични престъпления, докато си сътрудничим със Следствения комитет, ФСБ, Министерството на вътрешните работи. След това започнахме да правим продукти, които използват машинно обучение и изкуствен интелект за предотвратяване на атаки в ранен етап", казва Сачков през юни 2020 г. по време на официално събитие в Казан, организирано от премиера Михаил Мишустин.
На него присъстват и други големи фигури от руската високотехнологична индустрия като основателя на Yandex Евгений Касперски от Kaspersky Lab.
Комисарят по защита на правата на предприемачите Борис Титов представя Сачков на Путин, а той кани президента да посети офисите на компанията му. Същата година Group-IB премества централата си в Сингапур, в опит глобално да се разшири извън руския пазар. След ареста на Сачков, Титов е сред първите, които се изказват в негова защита.
По време на събитието с Мишустин младият предприемач се оплаква от препятствията пред "гарантирането на суверенитета на руската технология". Той дори обвинява правоприлагащите органи, че не успяват да противодействат на киберпрестъпленията, което според него вреди на имиджа на Русия.
Сачков посочва, че "всеки IT инженер в света знае", че Якубец спокойно се движи из Москва с Ламборгини с правителствени номера, въпреки че е създател на вируса Dridex, а "нито полицията, нито ФСБ, нито Министерството на външните работи реагират по някакъв начин".
"Максим [Якубец] още е в Москва, продължава да кара луксозната си кола и повярвайте ми това се отразява на имиджа на руските компании за информационна сигурност", казва той.
"Ако гледате това видео..."
Според експерти Сачков прави грешка, атакувайки публично предполагаем киберпрестъпник, който разполага с протекции. Вероятно по този начин той всъщност е атакувал фигури от руския държавен апарат.
"Подобни изказвания не са удобни за хората, които предоставят на киберпрестъпници удобни условия в Русия", заявява бившият анализатор на данни в Group-IB Виктор Калинин пред в. "Новая газета" по-рано същата година.
Във видеото, разпространено на 16 юни, Сачков казва, че то е записано през юни 2021 г., три месеца преди ареста му. Но е невъзможно да се докаже времето и мястото на записа, въпреки че е видно, че е направен в Москва.
Той твърди в Телеграм, че го е направил, защото се опасява, че може да стане обект на "сериозна провокация": "Ако гледате това видео, значи нещо се е случило или ще се случи с мен. Болница, затвор, изчезване, нещо ненормално, но не и нещо, с което да не сме свикнали."
Сачков посочва поименно тогавашния ръководител на Центъра за информационна сигурност в ФСБ Олег Кашенцов като отговорен за евентуалното му наказателно преследване, както и неговия предшественик - Сергей Михайлов.
Познат още като Център 18, този отдел във ФСБ беше разтърсен от скандал през 2016 г. Тогава е ръководен от Михайлов и неговия заместник, бивш хакер на име Дмитрий Докучаев.
Тогава руските следователи ги обвиняват в схема за предоставяне на класифицирана информация на САЩ заедно с още двама, сред които е и уважаваният анализатор от частния сектор Руслан Стоянов.
Сачков дава показания като експерт по време на процеса, който завършва с окончателни присъди за Михайлов и Докучаев от по 22 години затвор. Впоследствие наказанието на Докучаев е намалено.
Междувременно през март 2017 г. той е обвинен от Министерството на правосъдието на САЩ г. за участието си в хакването на Yahoo и кражба на 3 милиарда записи от имейли. Това е най-голямото хакване от такъв тип в историята.
Някои руски медии, както и Bloomberg, спекулират, че Сачков е предоставил на американски служители информация, довела до обвинението срещу 12 офицери от руското военно разузнаване, известно като ГРУ.
Съдържанието на видеоклипа е в тон с „образа на бялата шапка“, който Сачков се е опитвал да "съшие", смята Жулиен Носети, сътрудник и изследовател във Френския институт за международни отношения.
"Наистина мисля, че Иля все още се опитва да поддържа нещо като „морално влияние“ в местната кибериндустрия, която претърпява огромни промени от февруари 2022 г.", коментира пред Радио Свободна Европа Жулиен Носети, сътрудник и изследовател във Френския институт за международни отношения.
По думите му "Сачков знае, че има вероятност да остане много години в затвора, следователно няма какво да губи, освен репутацията си на кръстоносец срещу киберпрестъпленията".
"Защо руското правителство не прави нищо"
Сред серията разследвания на руски киберпрестъпления, които американските власти проведоха, е и случаят с Евгений Никулин, арестуван в Чехия през октомври 2016 г. и екстрадиран в САЩ по обвинения, че е хакнал американските технологични компании LinkedIn, DropBox и други. През 2020 г. Никулин е осъден на 7 години затвор.
През април 2014 г. агенти на ФБР заминават за Москва, за да се срещнат със служители по киберсигурност. Сред хората, с които провеждат разговори, е и Никита Кислицин, който получи обвинения в САЩ за киберкражба.
По време на срещата с ФБР Кислицин е служител на Group-IB, нает е през януари 2013 г., а по-късно става директор на мрежовата сигурност в компанията.
Преди това Кислицин е добре познат в руския киберъндърграунд и се познава с Никулин, когото описва като "Путин в хакерския свят".
Според доказателствата в процеса срещу Никулин - двамата са присъствали на среща в един московски хотел през март 2012 г. заедно с няколко руснаци и украинци. Събитието е наречено "summit of bad mother f*****s".
Твърденията са, че Кислицин е работил с друг известен руски хакер, Алексей Белан, за закупуване на крадени данни от Никулин. Белан също е обвинен в хакването на Yahoo и е в списъка на ФБР с най-търсените хакери в света.
По данни на Министерството на правосъдието на САЩ по време на срещата си с агенти на ФБР Кислицин е уведомен за законните си права. След това Кислицин посочва, че е "отворен за сътрудничество" и иска да "смекчи проблемите си".
През април тази година Group-IB обяви, че напуска изцяло Русия. "Процесите по изследване и разработване на Group-IB, заедно с пълния набор от технологии и продукти на компанията, ще бъдат изтеглени от Русия", се казва в официална позиция. Оттам обаче не откликнаха на по-скорошна покана за коментар пред Радио Свободна Европа.
Според Алекзандър Лесли от Recorded Future публикуването на видеото на Сачков изглежда има за цел да хвърли вината за оттеглянето на Group-IB от Русия върху ФСБ.
"Много е интересно да се твърди, че директорът на центъра на ФСБ, който отговаря за киберпрестъпността, малко или много ги е изтласкал от Русия", казва анализаторът.
"Честно казано, връщайки се към това, което Сачков споделя през 2020 г. и 2021 г. за връзката на киберпрестъпността с руската държава, дава началото на ефекта на снежната топка", смята Лесли. "Той продължава да го твърди и не само в това видео... Защо руското правителство не прави нищо по въпроса?"
Подразделението на ФСБ, с което Сачков влиза в конфликт, не е единственото, което привлича вниманието на правоохранителните органи. Миналия месец властите в САЩ, Великобритания и в други три западни страни обединяват съвместни усилия за премахване на зловреден софтуер, наречен Snake или Uroburos, който е бил на сървърите на редица държави в продължение на десетилетия.
Авторите на софтуера са част от едно от звената на ФСБ, известно като Център 16, откъдето четирима руснаци са обвинени от ФБР в различни киберпрестъпления.
Snake е "най-усъвършенстваният инструмент за кибершпионаж, проектиран и използван от Център 16 на Федералната служба за сигурност на Русия с цел дългосрочно събиране на разузнавателна информация за чувствителни цели", твърди правителствената агенция за киберсигурност на САЩ.
