В США подведены итоги одного из самых громких расследований последних лет в области киберпреступности. Информация появилась на страницах журнала Wired, а журналисты уверяют, что без поддержки ведущих экспертов не смогли бы так далеко продвинуться. Расследование продолжалось полтора года и было направлено на изучение крупной утечки стека данных, касающегося российской хакерской группировки Trickbot. Издание Wired объявило имя предполагаемого лидера киберпреступников, стоящего за Trickbot. По их данным, это 41-летний Максим Галочкин из Абакана, известный под псевдонимом Bentley. Журналисты пишут, что хакер расплывчато рассказывал о своей деятельности жене, но не посвящал супругу в дела группировки.
Исследование началось в марте 2022 года после того, как некий Trickleaks опубликовал в социальной сети Twitter (сейчас – X) большой объём переписок и досье на членов Trickbot. Эти данные включали реальные имена, фотографии, учётные записи в социальных сетях, номера паспортов, телефоны и даже адреса проживания хакеров. Кроме того, утечка раскрывала 2.5 тысячи IP-адресов членов группировки и 500 криптовалютных кошельков, принадлежащих им. Согласно независимой оценке, в группировку могли входить от 100 до 400 человек. Специалисты предполагают, что утечку данных могли организовать изнутри тщательно внедрившиеся в группировку хакеры. Не исключается, что речь идёт о мести со стороны других группировок, обнаруживших в инфраструктуре Trickbot уязвимость.
Идентификация Максима Галочкина стала возможной благодаря видео, опубликованному на одном из YouTube-каналов, посвящённых криптовалютам, где автор ролика засветил авторизированный аккаунт в защищённом мессенджере Jabber. Этот аккаунт был связан с ранее упомянутыми данными Bentley, а тщательное изучение всех нюансов в итоге и привело исследователей к Максиму Галочкину. Независимые эксперты в области информационной безопасности подтвердили правомерность выводов, а среди специалистов выступали такие люди, как: Алекс Холден (президент Hold Security), и Радое Васович (генеральный директор Cybernite Intelligence), а также Винцас Чижюнас (главный исследователь компании Nisos). Исследователям также удалось получить фотографии Галочкина, которые он выкладывал на различных онлайн-платформах. Он был описан как мужчина с густыми темно-коричневыми бровями и бородкой, с длинными седыми волосами. На фотографии он изображён в джинсах и белой футболке с рюкзаком на плечах, позируя на фоне горы.
Интересно, что, несмотря на свою причастность к киберпреступности, Галочкин также проявлял интерес к политической деятельности и сочувствовал оппозиционному движению «Солидарность». До смены фамилии (изначальное имя и фамилия: Максим Сипкин) он был активным членом движения, выступая за демократию и борясь с коррупцией и цензурой в стране. По мнению аналитиков, у группировки Trickbot были связи с российскими силовыми структурами, хотя прямого контакта с властями и не замечено. Подобные утверждения вызывают сомнения, поскольку Trickbot, как правило, нацеливалась на финансовые корпорации и не выполняла задачи, связанные с разведкой или политической подрывной деятельностью. Что любопытно, ещё в феврале 2023 года Министерство юстиции США огласило имена семи лиц, которых подозревают в причастности к хакерской группировке Trickbot, и ввело против них санкции. Согласно официальному заявлению, все упомянутые являются гражданами России, постоянно проживающими в стране. На тот момент имя Максима Галочкина, известного также под псевдонимом Bentley, в этом списке не фигурировало.
Что касается семи российских граждан, упомянутых в документе, то одним из них является Виталий Ковалев, предполагаемый лидер Trickbot, который также имел псевдоним Bentley. Журналисты из издания Wired не считают, что Минюст США допустил ошибку в своем расследовании, объясняя схожесть псевдонимов Ковалева и Галочкина обыденным совпадением. Сам Ковалев, как утверждает известный эксперт по кибербезопасности Брайан Кребс, рассматривал возможность создания фильма о хакерской группировке Trickbot еще в середине прошлого десятилетия. В одной из ролей предполагалось задействовать российскую студентку, которая вовлеклась в деятельность группировки, но позднее сотрудничала с американскими правоохранительными органами. Никто из семёрки, включённой в список властями США, не предоставил комментариев российским СМИ. При этом один из них признался в беседе с Wired, что несколько лет назад выполнял некоторые задачи по программированию на независимой основе и не считал их противозаконными.
Отметим, что Trickbot привлекла внимание экспертов ещё в 2016 году и стала одной из долгоживущих киберпреступных организаций в России. Считается, что Trickbot либо тесно связана с известной группировкой Conti, либо создана на её основе. Хакеры занималась кражей данных, а после использовали полученную информацию для собственной выгоды или продавали всё это на чёрном рынке. Созданный хакерами инструмент становился всё более сложным, позволяя заражать корпоративные системы, обладающие высоким уровнем защиты. Trickbot использовали широкий набор методов для получения денег, включая программы-вымогатели, которые шифровали или блокировали данные и требовали выкуп за восстановление. Интересно, что компании, поддавшиеся на шантаж, обычно предпочитали не сообщать об этом. По мнению аналитиков из Лаборатории Касперского, в настоящее время главной целью ботнета Trickbot является проникновение в локальные сети для дальнейшего распространения. Это позволяет операторам использовать его для различных целей, от предоставления доступа сторонним хакерам до кражи конфиденциальных данных. В США считают, что Trickbot начала совершать атаки на объекты гражданской инфраструктуры, включая медицинские учреждения, в 2020 году и тогда начала выполнять задачи в интересах Кремля. Интересно, что Microsoft представила информацию о том, что сотрудники корпорации уничтожили 90% инфраструктуры группировки незадолго до этого. Тем не менее Trickbot заразила более 140 тысяч устройств, включая компьютеры крупных корпораций, таких как Microsoft, Amazon, PayPal, Bank of America, Wells Fargo, American Express и другие (только за последние полтора года).