О том, как киберполицейские вышли на след предполагаемого заказчика и координатора DDOS-атак на популярные казахстанские порталы, выясняла Оrda.kz
Мы уже рассказывали о том, как неизвестные злоумышленники пытались воспрепятствовать нашей профессиональной деятельности. Начиная с середины июля 2022 и по март 2023 года портал Оrda.kz регулярно подвергался массированным хакерским атакам, телефонным флудам и акциям устрашения. В офис редакции как-то прислали коробку с отрезанной головой свиньи, а в квартиру главного редактора – надгробный памятник.
Наш сайт периодически глючил из-за DDOS- атак, но мы продолжали свою работу. Также, как и наши коллеги с порталов Еlmedia и Ulysmedia, которые тоже подверглись нападениям.
В начале марта МВД сообщило о задержании подозреваемых. Вероятным заказчиком хакерских атак оказался Аркадий Клебанов (Маневич), а их координатором Олексий Токарев. Мы рассказывали о том, как между ними и нашим руководителем Гульнарой Бажкеновой проводилась очная ставка, и как нам отказали в проверке показаний подозреваемых на детекторе лжи.
Поскольку предполагаемым руководителем хакерской группы является бывший киберполицейский с Украины, то наши журналисты решили выяснить, как работают и противодействуют хакерам всех мастей отечественные борцы с киберпреступлениями.
Виртуальная безопасность
Для начала поясним, что в Казахстане работают 2 ведомства, непосредственно занимающиеся обеспечением кибербезопасности – это Комитет информационной безопасности (КИБ) и Государственная техническая служба (ГТС).
КИБ входит в состав Министерства цифрового развития и аэрокосмической промышленности и отвечает за поддержку высокого уровня защищённости государственных электронных баз данных. ГТС входит в структуру КНБ и отвечает за обеспечение информационной безопасности и предотвращение угроз компьютерной безопасности.
Предотвращением и расследованием преступлений, совершаемых в Интернете, занимаются специализированные подразделения МВД и КНБ. В полицейском ведомстве за это отвечает Центр по борьбе с киберпреступностью и его территориальные подразделения. Всего в стране насчитывается 100 киберполицейских, из которых 20, помимо высшего юридического, имеют также специальное техническое образование.
Мы поговорили с начальником отдела по борьбе с киберпреступностью Департамента полиции города Алматы, подполковником Игорем Пудовкиным, чтобы узнать специфику работы его подразделения.
По словам нашего собеседника, он работает в отделе с 2008 года. За эти годы раскрыл много киберпреступлений, но с фактом мощных хакерских атак на известные интернет-издания он впервые столкнулся в 2022 году.
“Загвоздка в раскрытии данных уголовных правонарушений заключалась в том, что у нас до 2022 года не было опыта в делах такого рода. Как раскрывать, например, интернет-мошенничество мы знаем, потому что этому учат в ведомственных ВУЗах. Да мы и сами набили руку, выявляя, к примеру, незаконную деятельность финансовых пирамид или аферистов, специализирующихся на проведении посреднических услуг в различных сферах деятельности. А вот как надо раскрывать киберпреступления в отношении СМИ, мы узнали только в прошлом году, когда непосредственно столкнулись с этим явлением”, – говорит Пудовкин.
Он сразу предупредил, что не будет раскрывать детали раскрытия резонансного киберпреступления, поскольку оно засекречено.
“За работу межведомственной следственно-оперативной группы отвечают должностные лица КНБ, поэтому за комментариями о ходе расследования вам лучше обращаться к ним. Я лишь могу сказать, что в состав этой группы входят сотрудники нашего отдела, наши коллеги из отдела по противодействию экстремизму и терроризму Департамента полиции Алматы и прикомандированные сотрудники Департамента криминальной полиции МВД. Общими усилиями мы вышли на след подозреваемых, задержали их и теперь доказываем их вину в предъявленных обвинениях”.
В настоящее время подозреваемым вменяются, насколько мы знаем, несколько пунктов обвинения. Это статья 205-я УК РК (Неправомерный доступ в информационную систему или сеть телекоммуникаций), статья 210-я УК РК (Создание, использование или распространение вредоносных компьютерных программ и программных продуктов), статья 115-я УК РК (Угроза), статья 147-я УК РК (Нарушение неприкосновенности частной жизни), статья 202-я УК РК (Умышленное уничтожение или повреждение чужого имущества), статья 158-я УК РК (Воспрепятствование журналистской деятельности), статья 293-я УК РК (Хулиганство).
Однако МВД и КНБ почему-то скрывают от СМИ информацию о других уголовных статьях, которые также вменяются подозреваемым. Не случайно же уголовное дело засекречено КНБ, и в его раскрытии принимали активное участие сотрудники Управления по борьбе с экстремизмом. Может, всё дело в том, что следствие придерживается первоначальной версии о том, что организаторы хакерских атак имитировали преследование масс-медиа для дискредитации президента РК и проводимых им демократических реформ?
Будни киберполицейских
Как же тогда алматинские борцы с интернет-преступлениями и их коллеги из других подразделений полиции обезвредили группу украинских хакеров во главе с их заказчиком, который 2 года назад ещё был гражданином нашей страны? Наш собеседник согласился лишь в общих чертах пояснить это, ссылаясь на тайну следствия.
“Мы сначала вышли на след одного подозреваемого, вычислив его IP-адрес и проследив историю его онлайн-покупок и переводов через электронные кошельки и платёжные терминалы. Так мы смогли установить его местонахождение в Алматы. После его задержания мы уже по цепочке вышли на других его подельников и заказчика. А вот наши коллеги из Управления по противодействию экстремизму и терроризму обезвредили тех, кто поджигал автомобили блогера Динары Егеубаевой и видеооператора Романа Егорова, и кто нанёс монтажную пену на входную дверь квартиры журналиста Вадима Борейко».
Подозреваемый координатор хакерских атак на информационно-аналитические порталы сам когда-то работал киберполицейским в Украине. Он знал методику раскрытия киберпреступлений, поэтому мог просчитать действия казахстанских коллег. Однако ни теоретические знания, ни практический опыт не помогли ему скрыться от правоохранительных органов Казахстана.
“Мы в любом случае вычислили бы его местонахождение, как бы он не старался замести свои следы в виртуальном пространстве. Всё-таки мы – профессионалы своего дела. К тому же, работаем командой. Не думайте, что раз хакер работал в киберполиции Украины, считающейся одной из лучших в странах-участницах СНГ, значит, у него было больше шансов скрыться от нас. Это – ошибочное суждение. За 18 летнюю историю существования казахстанской киберполиции мы тоже достигли успехов в раскрытии Интернет-преступлений!”
Но почему в таком случае алматинские киберполицейские так долго искали координатора хакерских атак на популярные сайты? К примеру, наш портал впервые обрушился в середине июля 2022 года. Мы тогда 2 недели не могли работать в привычном режиме. Подозреваемых задержали только в конце февраля 2023 года. Что же мешало обезвредить их раньше?
“Сложность в раскрытии таких киберпреступлений заключалась в том, что все хакеры пользуются мессенджерами, сервера которых находятся за пределами Казахстана. Это например, американский WhatsApp, российский Телеграм. Вот если бы это был мессенджер казахстанского провайдера, то мы бы быстро получали всю интересующую нас информацию. А так нам приходится всё время ждать получения необходимых данных, притом длительное время. К тому же, хакеры ещё и пользуются зарубежными платёжными системами и анонимными VPN-серверами, владельцев которых установить не представляется возможным».
По словам Пудовкина, проблема заключается в том, что киберполицейским надо согласовывать практически все свои важные действия с прокуратурой и следственным судьёй. А это отнимает у них немало времени.
“Для проведения многих оперативных и литерных (секретных – прим.авт.) мероприятий нам нужно брать санкции в судебном органе. Вот нам и приходится разъяснять судьям, а заодно и курирующим нашу деятельность прокурорам, что мы планируем делать и для чего нам необходимо их одобрение. Я бы не сказал, что это хлопотное дело, поскольку они практически всегда идут нам на встречу, но всё же процесс согласования занимает какое-то время”.
Обычно задержанным хакерам вменяют или статью 205-ю УК РК (Неправомерный доступ в информационную систему или сеть телекоммуникаций) или 210-ю УК РК (Создание, использование или распространение вредоносных программ и программных продуктов). Всего в Уголовном Кодексе РК предусмотрено 9 статей за уголовные правонарушения в сфере информатизации и связи.
“Все эти статьи действующие, нет “мёртвых”, редко используемых статей. Что касается подследственности дела, то оно зависит от того, какие цели преследовал хакер, и какую систему он взломал. Если он подозревается в мошенничестве, то его дело будет вести следователь из отдела по раскрытию имущественных преступлений. Если его подозревают в пропаганде экстремизма, значит, дело будет вести следователь из соответствующего Управления. Если хакер подозревается в покушении на разглашении личных данных потерпевшего, его жизнь и здоровье, значит, за дело возьмётся следователь из отдела по раскрытию преступлений против личности”.
Сотрудники отдела по борьбе с киберпреступностью не расследуют уголовные дела, так как они считаются оперативниками. Структурно они входят в Управление криминальной полиции ДП, а подотчётны Центру по борьбе с киберпреступностью МВД РК.
“Когда дело возбуждают, то одного из моих сотрудников включают в состав следственно-оперативной группы. Он вместе со следователем и районным оперативником непосредственно занимается расследованием этого дела. Если он сможет выйти на след хакера, то он закрывает материалы своей работы, как реализованные, по аналогии со следователем, который закрывает дело, как раскрытое. Если же киберполицейский не сможет вычислить хакера, то он закрывает материалы, как не реализованные”.
Мы спросили у нашего собеседника, что сложнее раскрыть – DDOS-атаки на крупный банк или информационно-аналитический сайт? В обоих случаях злоумышленники используют серьёзные финансовые и технические ресурсы, и цепочку посредников, чтобы навредить финансовому учреждению или СМИ.
«Я думаю, что сложнее раскрыть хакерские атаки на сайт, потому что налагает на нас большую ответственность. Ход такого расследования контролируют несколько ведомств, да и СМИ бдят за ним. К тому же, речь идёт о вмешательстве в частную жизнь и профессиональную деятельность журналистов, в то время как в случае с хакерскими атаками на банк последний несёт, в основном, финансовые потери. Владельцы банков, как правило, не афишируют такие инциденты, опасаясь за репутационные риски. Разве что служба технической поддержки финучреждения разошлёт клиентам сообщения о технических неполадках и сбоях, а так всё проходит без шумихи».