Вся страна обсуждает задержание хакеров, полгода терроризировавших журналистов. В прошлую субботу, 4 марта, пострадавших пригласили в полицию Алматы на очную ставку с задержанными, в их числе главреда Orda.kz Гульнару Бажкенову, которая внимательно посмотрела своё личное дело, распечатанное с компьютеров задержанных, выслушала «заказчика» Аркадия Клебанова и координатора Олексия Токарева, а также задала им свои вопросы
Однако информация следствия и самих хакеров нас не удовлетворила полностью, и мы параллельно вели собственное расследование. На основании результатов этой работы хотим заявить, что всё рассказанное и показанное нам достоверно, да это и невозможно сфальсифицировать, проблема лишь в том, что нам рассказали и показали не всю правду. От нас скрыли самое главное, причём дело не в тайне следствия, а в принятом политическом решении. В очередной раз в Казахстане основной фигурант, главный виновный, заказчик и вдохновитель уйдёт от ответственности, оставив истории анекдот про хакера, который с детства ненавидел журналистов.
Встреча с людьми, организовывавшими посылки с останками животных, которые они между собой называли «сатанинским набором», поджоги машин, DDoS-атаки, телефонный флуд, расклеивавшими угрозы с фотографиями детей на стенах и заборах их школ и много чего ещё, состоялась 4 марта в полиции Алматы на Масанчи, 55. Пришли по приглашению следствия руководители Elmedia Гульжан Ергалиева и Аян Шарипбаев, главред Ulysmedia Самал Ибраева и я, Гульнара Бажкенова. Вадим Борейко и Динара Егеубаева от встречи отказались.
Сначала нам раздали наши личные дела (это именные файлы на каждую жертву преследования, скачанные с ноутбуков хакеров), ввели в курс дела, а затем привели первого собеседника.
Олексий Токарев
Мы с любопытством смотрели на двери, в которые вошёл молодой паренёк невысокого роста со следами уже заросшей модной ассиметричной стрижки. Он был скован с конвоиром наручниками, также его сопровождал адвокат. Посовещавшись, полицейские начальники решили, что на время разговора подследственного можно освободить.
Токарев сел и с минуту молчал, уставившись в пол, в то время как мы смотрели на него, не зная, с чего начать.
Олексий Токарев, 1995 года рождения, гражданин Украины, сотрудник киберполиции МВД, с прошлого года в связи с рождением ребёнка взявший отпуск.
Он родом из Донецка, со школьной скамьи побеждал на всевозможных соревнованиях хакеров и айтишников, как открытых и уважаемых, так и закрытых, которые, оказывается, тоже проводятся. После окончания Харьковского университета МВД идёт работать в киберполицию. Но ситуация такая, что денег нет, «кушать что-то надо», и в 2021 году только что женившийся киберполицейский впервые регистрируется на закрытом сайте хакеров, куда невозможно попасть с обычного браузера, и даёт объявление о своих услугах. Первым на него выходит аккаунт LGT41. Так начинается знакомство Олексия Токарева и Аркадия Клебанова из Алматы, причём первый не знал имя второго вплоть до своего задержания.
Заказы изначально были сомнительными, за другим в Даркнет и не ходят, и на 99% касались Казахстана. Всё это были расследования в отношении определённых персон: журналистов, гражданских активистов, политиков. В их числе была и ваша покорная слуга, а задача стояла незамысловатая – выяснить, «кто стоит за ней и Ордой». (Дальше я буду писать в основном о своём кейсе, чтобы ненароком не раскрыть информацию других людей, которую они не хотели бы предавать огласке.)
Заказов сразу было много, Клебанов стал фактически единственным работодателем Токарева. Но в марте-апреле 2022 года происходит что-то серьёзное, ставки повышаются в буквальном смысле, Токареву платят уже не сдельно за каждый заказ, а ежемесячно зарплату: сначала 2, а потом 5 тысяч долларов и переводят за границу. В апреле он вместе с женой и маленькой дочерью переезжает в Болгарию, а в августе по рабочей визе в Казахстан.
Работы много, его просят найти и сколотить команду из таких же, как он, сильных айтишников, и Олексий привлекает однокурсников по университету, тоже бывших киберполицейских. То есть в том факте, что хакеры – бывшие сотрудники киберполиции Украины, нет ничего удивительного, Украина всегда славилась самыми сильными айтишниками (и хакерами) в русскоязычном пространстве, плюс человек обычно привлекает тех, кого знает, с кем учился и уже работал.
Но вот выбор Клебанова, возможно, не был таким уж случайным, гражданство хакеров представляло для него сопутствующую выгоду, в случае чего оно могло запутать следствие и общественное мнение, а их полицейские навыки имели дополнительную ценность ввиду специфики задач.
Летом 2022 года начинается операция, которую можно условно назвать «Журналист».
Токарев же переезжает в Алматы, где его встречают помощники Клебанова. Ему снимают квартиру сначала на проспекте Сейфуллина, потом на улице Розыбакиева, покупают и оформляют на чужое имя сим-карту. Подчинённые Токарева – Ливиненко, Демченко, Шаповалов и Малышок, находятся в разных странах и работают оттуда за зарплату 2 тысячи долларов.
Атака на журналистов начинается с сайта Orda.kz, что оказалось «делом пустяковым и дешёвым – 50 долларов в сутки», ввиду полного отсутствия защиты. Сайт лежал три недели, затем журналисты подключили специалистов, и пришлось задействовать уже большие средства. Параллельно идёт атака на сайт Ulysmedia. Заваливаются спамом все рабочие инструменты редакций – почта, бот-чаты, комментирование. Сначала заказчик велит действовать без перегибов, но в конце сентября все красные линии снимаются и начинаются угрозы, размещение фотографий и объявлений на порносайтах, телефонный флуд (32 доллара в сутки).
«Дети, не дети, никого не жалеем, такой был приказ», – рассказывает Токарев.
Задача – мешать работать, уничтожить ресурсы, деморализовать жертвы всеми возможными способами, в моём случае, например, было решено действовать через ребёнка. Почему?
«Вы больше ни на что не реагировали».
В наших личных делах видно, как хакеры фиксировали каждую публичную реакцию жертв – наши посты, комментарии, статьи в СМИ, и отправляли отчёты со скринами и скрупулезными объяснениями заказчику. Чем громче реакция, чем больше общественный резонанс, тем лучше. И Токарев, и Клебанов утверждают, что именно это было главной целью. Не получая желаемого отклика, тактику воздействия меняли.
Интересно, что в определённый момент я что-то такое почувствовала и перестала публично жаловаться на давление, которое приняло уже тотальный характер и реально отравляло жизнь. Я писала заявление в полицию, принимала меры предосторожности: например, поставила неадекватно мощную для обыкновенной квартиры систему охраны и сигнализации, а перед загранкомандировкой попросила у полиции охрану для сына. Но широкой огласке все случаи угроз и преступлений против себя и своего ребёнка намеренно не предавала.
Может быть, поэтому следующими операциями запланировали коктейль Молотова в окно редакций Orda.kz и Elmedia и блокировку с поджогом двери в квартире по месту моего проживания. Последнее указание Токарев в разработку не взял, отказался под предлогом невозможности просчитать последствия, поскольку непонятно, как поведет себя женщина с маленьким ребёнком в такой ситуации и сможет ли выбраться. Он вообще утверждает, что отказывался выполнять акции, способные нанести физический вред. На вопрос «А разве не ваши подопечные ударили журналиста Молдабекова?» твёрдо ответил «нет».
Между тем распоряжения после Нового года стали на порядок жёстче. В январе LGT41 (Клебанов) вызвал Токарева в Эмираты, где на курорте в Рас-Эль-Хайме объявил о новой фазе операции. Больше ада, огня и насилия. Олексию велели собирать чемодан, его переводили в Дубай, откуда он должен был продолжать координацию.
Что планировали делать в ближайшее время? Кроме вышеуказанных коктейлей Молотова в окна редакций Orda.kz и Elmedia и поджога моей квартиры, это газовые баллончики в лицо Динары Егеубаевой и Самал Ибраевой, поджог автомобиля журналиста и сына Гульжан Ергалиевой, Аяна Шарипбаева, и физическое избиение кого-нибудь из журналистов. Машину Егеубаевой намеревались сжечь до конца, но полиция отогнала её на штрафстоянку под охрану.
Токарев утверждает, что старался тормозить процесс, объясняя невозможность таких фактически уже малых диверсий недостатком сил и ресурсов. Но LGT41, даже после первой встречи офлайн в Эмиратах не раскрывший ему настоящее имя, представившись Александром, посылал в ответ видео с отрезанием человеку пальцев и сопровождал его комментарием: «Нам нужны такие исполнители».
«Он на многое способен, я давно это понял, с ним что-то не так», – заявил нам Токарев.
Со временем он начал испытывать страх и угрызения совести, если, конечно, можно верить человеку в заключении, который незадолго до ареста собирался переезжать в Эмираты, чтобы там продолжить свою деятельность. На нашей встрече он несколько раз просил у меня особое прощение. Рассказал, что на следующий день после того, как мне прислали надгробный памятник с именем и изображением сына, у него сильно заболела маленькая дочь, несколько дней ничего не ела, не пила, а лишь плакала:
«Я тогда понял, что это господь меня наказывает».
Может быть, нам всем действительно повезло, что Клебанов выбрал координатором именно Токарева? Всё могло быть гораздо хуже.
Как же таких крутых хакеров разоблачили? Всех подробностей нам не раскрыли, но, если коротко и в общих чертах, всё началось с анализа сайтов с объявлениями о поиске работы, с идентификации IP-адресов, с которых связывались с соискателями.
Роковым моментом для Токарева стало совпадение по IP-адресам его первой квартиры на проспекте Сейфуллина и второй на Розыбакиева – следствие обнаружило активный поиск услуг одинакового характера с этих двух адресов в нужном промежутке времени, ну а когда выяснили, что и там, и там проживал один человек, приехавший в Алматы в августе, началась слежка. Кроме того, Токареву приходилось расплачиваться с исполнителями через электронные кошельки и платёжные терминалы.
Брали Токарева далеко за пределами дома, который в момент задержания полностью обесточили. Нельзя было допустить, чтобы хакер одним нажатием кнопки на телефоне уничтожил содержимое своего ноутбука. И он не успел, вся его переписка с заказчиком, подельниками и исполнителями, файлы с характеристиками жертв, отчёты о их реакциях, своих действиях и т. д. оказались в руках следствия.
Сейчас Токарев активно сотрудничает со следствием, благодаря ему вышли на LGT41, которого удалось выманить в Казахстан.
Олексий Токарев – сотрудник кибербезопасности МВД Украины, но к его деятельности в Казахстане его страна не имеет никакого отношения. Он подрабатывал на стороне, а потом ушёл в полный отрыв, так же, как это мог сделать штатный хакер киберполиции МВД Казахстана. И если тут есть украинская составляющая, то лишь в том смысле, что его начальнику – Клебанову, вероятно, были выгодны гражданство и официальное место работы Олексия и его товарищей. В случае чего оно могло запутать следствие и увести в ложном направлении подальше от него. В Казахстане, кстати, по словам соседей, сам Клебанов всегда ездил на машинах с российскими номерами.
Аркадий Клебанов-Маневич
Через некоторое время после того, как Токарева увели, в кабинет вошёл Аркадий Клебанов. Высокий, грузный, в очках, выглядящий гораздо старше своих 26 лет. Какова его история и почему он организовал все эти атаки, рассказываем в нашем материале.