Meglepte az orosz informatikai közösséget, amikor hazaárulás vádjával közel két évre bebörtönözték Ilja Szacskov kiberbiztonsági vezetőt, aki most szokatlan bosszút állt. Egy videóban nyilvánosan a Szövetségi Biztonsági Szolgálatot vádolta azzal, hogy nem a megfelelő embereket vett célba egy pusztító kampánnyal.
Amikor a feltörekvő orosz kiberbiztonsági csoport, a Group-IB társalapítója 2020 júniusában ritka nyilvános állásfoglalást tett a kiberbűnözésről, merész és kockázatos lépésnek tekintették, mert egy olyan ágazatban történt, ahol mindig is porózus volt az orosz bűnözők és az orosz biztonsági szervek közötti határvonal.
Az orosz miniszterelnök mellett felszólalva Ilja Szacskov megnevezett valakit, aki egy hírhedt zsarolóprogram mögött áll: Makszim Jakubecet.
Szacskov nem csak azt tudta, hogy az FBI hat hónappal korábban súlyos kiberbűncselekményekkel vádolta meg Jakubecet – valószínűleg azt is, hogy Jakubec apósa a Szövetségi Biztonsági Szolgálat, az FSZB egykori különleges alakulatának tisztje volt.
Sok szakértő szerint valószínűleg ez az oka annak, hogy az FSZB 2021 szeptemberében letartóztatta Szacskovot, és hazaárulással vádolta meg.
Most, hogy egy moszkvai börtönben ülve várja a tárgyalást, Szacskov újabb merész és kockázatos trükköt vetett be: szövetségeseivel együtt nyilvánosságra hozott egy videót, amelyet néhány hónappal a szabadulása előtt rögzítettek. A videóban, amely a hónap elején terjedt Telegramon, Szacskov az FSZB-t szidja, és név szerint megnevez két prominenst: a fő kiberegység vezetőjét és korábbi igazgatóját, aki 22 éves börtönbüntetését tölti, miután hazaárulásért elítélték.
„Stratégiai jelentőségűnek, nagyon érdekesnek tartom, hogy nyilvánosságra hozták” – mondta Alexander Leslie, az amerikai Recorded Future kiberbiztonsági vállalat elemzője az új videóra utalva.
Letartóztatása előtt Szacskov „mindent elkövetett, hogy embereket nevezzen meg, kiberbűnözőket, akik – állítása szerint – nyíltan együttműködtek az FSZB-vel és a biztonsági szolgálatok egészével” – mondta.
„Azt hiszem, sokan, különösen azok, akik az orosz politika és az orosz kiberbűnözői underground tanulmányozásával foglalkoznak, tisztelik Szacskovot ezekért az állásfoglalásokért – mondta Leslie a Szabad Európának –, mert nagyon ritka, rendkívül ritka, hogy valaki ilyesmit mondjon el, aztán megküzdjön a reakciókkal, amelyekkel valószínűleg szembe kell néznie a kijelentések eredményeképp.”
„Biztosan meg fog lepődni”
2021 szeptemberében az FSZB ügynökei rajtaütöttek a Group-IB moszkvai irodáin, szervereket és dokumentumokat vittek el.
Elhurcolták Szacskovot is, aki korábban elhagyta az országot, de tisztázatlan okokból visszatért.
Még a trükkökhöz, botrányokhoz és árulásokhoz szokott ágazatban is sokakat megdöbbentett a letartóztatása, az orosz üzleti élet vezetői, köztük az ország hivatalos üzleti ombudsmanja is bírálta a lépést.
Oroszország évek, ha nem évtizedek óta próbálja kiépíteni saját technológiai iparát, küzd, hogy hasznosítani tudja nagyra becsült oktatási rendszerének és világszínvonalú programozói és mérnökei hatalmas szellemi potenciálját – a hekkerekről és biztonsági ügynökökről nem is beszélve.
A Kaspersky Lab volt az egyik példa egy olyan hazai technológiai vállalatra, amely globális játékossá vált – egészen 2017-ig, amikor az amerikai kormány azt állította, hogy együttműködött az FSZB-vel, és kitiltotta szoftverét az összes amerikai kormányzati számítógépről. (Mindez azután történt, hogy a Kaspersky mérnökei elkezdték visszafejteni a vélhetően amerikai–izraeli fejlesztésű Stuxnet féregvírust, amely megfertőzte az iráni atomprogram számítógépeit.)
A Group-IB-t eközben az orosz technológiai ipar sikertörténeteként üdvözölték. Vlagyimir Putyin elnök 2019 februárjában a fiatal vállalkozóknak járó díjjal tüntette ki Szacskovot.
„A csúcstechnológiai bűncselekmények kivizsgálásával kezdtük, együttműködve (…) a nyomozó bizottsággal, az FSZB-vel és a belügyminisztériummal. Aztán elkezdtünk olyan termékeket készíteni, amelyek a gépi tanulást és a mesterséges intelligenciát használják a támadások korai megelőzésére – mondta Szacskov, aki meghívta Putyint, hogy látogasson el az irodájába. – Biztosan meg fog lepődni.”
Ugyanebben az évben a Group-IB Szingapúrba tette át a székhelyét, hogy az orosz piacon túl, a globális közönségre is kiterjessze üzleti tevékenységét.
2020 júniusában Szacskov az orosz high-tech ipar más jelentős személyiségeivel együtt részt vett a Mihail Misusztyin miniszterelnök által Kazany városában rendezett eseményen. Ott volt a Yandex alapítója, Jevgenyij Kaszperszkij a Kaspersky Labtól és a Mail.ru akkori vezetője. Borisz Tyitov, a Kreml hivatalos üzleti ombudsmanja mutatta be Szacskovot Putyinnak. Miután Szacskovot letartóztatták, Tyitov az első tisztviselők között volt, aki felszólalt a védelmében.
A Misusztyinnal folytatott megbeszélésen Szacskov az orosz technológia szuverenitásának garantálása előtt álló akadályokról panaszkodott, és azzal vádolta a bűnüldöző szerveket, hogy nem tudják megállítani a kiberbűnözést, ami szerinte árt Oroszország megítélésének.
„Az egész világ azt mondja, hogy Makszim Jakubec úr, egy hekker, aki Moszkvában egy állami rendszámú Lamborghinivel közlekedik, számítógépes bűnöző, a Dridex vírus megalkotója, a világ minden mérnöke tud róla – mondta. – Egyetlen orosz állami szerv – sem a rendőrség, sem a Szövetségi Biztonsági Szolgálat, sem a külügyminisztérium – nem reagál erre semmilyen módon.”
„Makszim Moszkvában marad, továbbra is luxusautóval jár, és higgyék el, ez kihat az információbiztonságot exportáló orosz cégek megítélésére” – mondta.
„Ha ezt a videót látod, akkor valami történt vagy történik velem”
Sok szakértő szemében Szacskov hibázott, amikor nyilvánosan kiállt egy állítólagos kiberbűnözővel szemben, akinek volt egy befolyásos védelmezője, és hibázik, ha másokkal is felveszi a harcot az orosz biztonsági apparátuson belül.
„Az ilyen kijelentések nem kellemesek azoknak, akik kényelmes körülményeket biztosítanak a kiberbűnözőknek Oroszországban” – mondta Viktor Kalinyin, a Group-IB egykori adatelemzője a Novaja Gazeta újságnak év elején.
Lehetnek más okok is.
A június 16-án elterjedt videón Szacskov azt mondta, hogy 2021 júniusában, három hónappal letartóztatása előtt rögzítették. A felvétel időpontját és helyét nem lehetett ellenőrizni, bár úgy tűnik, egy moszkvai helyszínről van szó.
Azt mondta, azért rögzítette, mert aggódott, hogy „súlyos provokáció” célpontja lehet.
„Ha ezt a videót látják, akkor valami történt vagy történik velem. Kórház, börtön, eltűnés – valami rendkívüli, amihez valószínűleg már hozzászoktunk” – mondta.
Ezután az FSZB Információbiztonsági Központjának jelenlegi vezetőjét, Oleg Kaszencovot jelölte meg felelősként esetleges büntetőjogi felelősségre vonásáért. Megnevezte Kaszencov elődjét, Szergej Mihajlovot is.
2016-ban botrány dúlt a 18-as központ néven is ismert Információbiztonsági Központban, amikor Mihajlov és helyettese, egy Dmitrij Dokucsajev nevű volt hekker irányította. Az orosz nyomozók azzal vádolták őket és két másik embert, köztük egy elismert magánelemzőt, Ruszlan Sztojanovot, hogy részt vettek egy olyan tervben, amelynek célja az volt, hogy titkos kiberbiztonsági információkat adjanak át az amerikai hatóságoknak.
Szacskov szakértői tanúvallomást tett azon a tárgyaláson, amelyen Mihajlovot végül elítélték.
Mihajlovot és Dokucsajevet – akik korábban találkoztak az amerikai igazságügyi minisztérium tisztviselőivel, hogy együttműködjenek egyes kiberbűnözéssel kapcsolatos nyomozásokban – 22 év börtönbüntetésre ítélték, bár Dokucsajev büntetését később lerövidítették.
Dokucsajev ellen eközben 2017 márciusában vádat emelt az amerikai igazságügyi minisztérium a Yahoo feltörésében és hárommilliárd e-mail-adat ellopásában játszott szerepe miatt – ez volt a történelem legnagyobb ilyen jellegű hekkertámadása.
Egyes orosz médiaorgánumok, valamint a Bloomberg News azt találgatta, hogy Szacskov olyan információkat is átadott amerikai tisztviselőknek, amelyek alapján az igazságügyi minisztérium vádat emelt a Nyugaton GRU néven ismert (az oroszoknál GU-nak nevezett) orosz katonai hírszerző ügynökség 12 tisztje ellen.
A videó és informátori tartalma összhangban volt azzal a fehér kalapos imázzsal (azaz etikushekker-imázzsal), amelyet Szacskov igyekezett felépíteni – mondta Julien Nocetti, a Francia Nemzetközi Kapcsolatok Intézetének munkatársa és kutatója.
„Úgy gondolom, Ilja még mindig próbál fenntartani egyfajta erkölcsi befolyást a hazai kiberiparban, amely 2022 februárja óta mélyreható változásokon ment keresztül – mondta Nocetti a Szabad Európának. – Azok, akik nem döntötték el, melyik oldalon állnak, rákényszerültek – és ez nem a legkellemesebb dolog, ami történhet, ha az ember orosz vállalkozó ebben az érzékeny és szuverenitással kapcsolatos iparágban.”
„Tudja, hogy valószínűleg évekig börtönben marad, így nincs vesztenivalója, kivéve a kiberbűnözés elleni kereszteslovag-hírnevét” – mondta, hozzátéve, hogy „különösen az olyan kiberbűnözés ellen lép fel, amelyre a pénzügyi motívumok és a politikai haszonszerzés kombinációja jellemző.”
„Miért nem tesz semmit az orosz kormány?”
Az orosz kiberbűnözéssel kapcsolatos számos, az amerikai hatóságok által folytatott nyomozás között volt Jevgenyij Nyikulin ügye, akit 2016 októberében tartóztattak le a Cseh Köztársaságban, és kiadtak az Egyesült Államoknak azzal a váddal, hogy feltörte a LinkedInt, a Dropboxot és más amerikai technológiai cégeket.
Nyikulint 2020-ban az esküdtszék elítélte, valamivel több mint hét év börtönbüntetést kapott.
2014 áprilisában az FBI ügynökei Moszkvába utaztak, hogy találkozzanak kiberbiztonsági tisztviselőkkel. Az orosz bűnüldöző szervek támogatták a találkozót. A kihallgatottak között volt Nyikita Kiszlicin, akit előző hónapban egy amerikai esküdtszék vád alá helyezett kiberlopás miatt.
Az FBI-találkozó idején Kiszlicin a Group-IB alkalmazásában állt. 2013 januárjában vették fel, és később a vállalat hálózatbiztonsági igazgatója lett.
Ezt megelőzően azonban Kiszlicint jól ismerték az orosz kibervilágban. Ismerte Nyikulint, akit a hekkervilág Putyinjaként jellemzett.
Nyikulin és Kiszlicin 2012 márciusában több más orosz és ukrán állampolgárral együtt részt vett egy moszkvai szállodában tartott találkozón, amelyet a Nyikulin perében benyújtott bizonyítékok szerint „a csúnya anyaszomorítók csúcstalálkozójának” kereszteltek el.
Kiszlicin állítólag egy másik hírhedt orosz hekkerrel, Alekszej Belannal dolgozott együtt, hogy lopott adatokat vásároljon Nyikulintól. Belan, aki ellen szintén vádat emeltek a Yahoo e-mail-szolgáltatása feltörésének ügyében, szerepel az FBI legkeresettebb hekkereinek listáján.
Az FBI ügynökeivel folytatott találkozón Kiszlicint az igazságügyi minisztérium iratai szerint tájékoztatták törvényes jogairól, ezután jelezte, hogy „nyitott az együttműködésre”, és „enyhíteni akarja a problémákat”.
Áprilisban a Group-IB bejelentette, hogy befejezte az előkészítését annak, hogy teljesen elhagyja Oroszországot.
„A Group-IB összes kutatási és fejlesztési folyamata, valamint a vállalat teljes technológiai és termékpalettája kivonul Oroszországból” – közölte a csoport.
A Group-IB nem válaszolt a Szabad Európa újabb megkeresésére.
Szacskov megelőző feljelentésének, úgy tűnt, az volt a célja, hogy az FSZB-t tegye felelőssé a Group-IB Oroszországból való kivonulásáért – mondta Leslie, a Recorded Future munkatársa.
„Nagyon-nagyon fura azt mondani, hogy az FSZB központjának igazgatója, aki gyakorlatilag a kiberbűnözéssel kapcsolatos információkért felelős, többé-kevésbé kiszorította őket Oroszországból” – mondta.
„Őszintén azt gondolom, hogy az, amit Szacskov 2020-ban és 2021-ben mondott a kiberbűnözés és az orosz állam kapcsolatáról, elindította az állítások és a nyilvános vizsgálat lavináját – mondta Leslie. – Ezt továbbra is állítja, nem csak abban a videóban.”
„Miért nem tesz az orosz kormány semmit ez ellen? – tette fel a kérdést Leslie. – Valószínűleg azért, mert a) egyeseknek bevételi forrást jelent; b) az orosz állam számára a puha hatalom kivetítésének forrása. Lehetővé teszi a félelem, bizonytalanság és kétség kialakulását a kibertérben, ami segíti az Oroszországból kiinduló kiberbűnözés elszabadulását.”
Az FSZB egysége, amellyel Szacskov összecsapott, nem az egyetlen olyan részleg, amely a bűnüldöző szervek vizsgálatát és figyelmét is felkeltette.
Múlt hónapban az Egyesült Államok, Nagy-Britannia és három másik nyugati ország hatóságai közös erőfeszítést jelentettek be a Kígyó, más néven Uroburos nevű kártékony malware kiiktatására, amely évtizedek lappang óta több tucat ország internetes szerverein.
A kódot a 16-os központ néven ismert FSZB-egységnek tulajdonították. Az FBI ennek nyomán négy orosz ellen emelt vádat különböző kiberbűncselekmények miatt.
A Kígyó „a legkifinomultabb kiberkémkedési eszköz volt, amelyet az orosz Szövetségi Biztonsági Szolgálat 16-os központja tervezett és használt érzékeny célpontokról való hosszú távú hírszerzésre” – közölte az amerikai kormány kiberbiztonsági ügynöksége.