Содержание:
  1. Краткая предыстория
  2. Не так быстро
  3. Хорошая мина при плохой игре
  4. Сбор доказательств
  5. Зацепки прямые и косвенные

16 июля Служба безопасности Украины сообщила о поимке крупной рыбы хакерского океана. Ею оказался молодой парень из Одессы Михаил Рытиков. Ничем не примечательный. На первый взгляд. 

Под верхним неприметным слоем оказался целый детектив. 4 попытки ареста, международные преступления на сотни миллионов долларов, настоящий подпольный дата-центр, противостояние с иностранными спецслужбами. Liga.Tech заинтересовалась историей задержания и подробно изложила ее здесь

Но почти сразу в сети поползли слухи, что СБУ "как всегда" преувеличила. Мол, арестовали силовики никакие не “40% русскоязычного даркнета”. А сам хакер благополучно пишет на форумах и успокаивает панику вокруг шумных новостей о нем. 

Журналисты решили покопаться в продолжении истории. Делать окончательные выводы пока рано. Но интересных деталей добавилось.

Краткая предыстория

Уже больше 10 лет, по утверждениям силовиков, Михаил Рытиков держит дата-центры, в которых цифровые преступники размещают всякие нехорошие вещи. Например, вирусы, фишинговые сайты и прочую “запрещенку”: площадки по продаже оружия, наркотиков, детской порнографии. 

В сети, как говорят спецслужбы, Рытикова знают под никами Whost, AbdAllah, webhost, Господин Абдулла и другими. СБУ, вслед за американскими спецслужбами, считает одессита причастным к массе громких мировых преступлений. Общая цифра ущерба - больше $300 млн.

Новость об очередном задержании Рытикова наделала шуму. Но, казалось бы, яркая “перемога” СБУ вызвала и скепсис на украинском телеком-рынке. 

“Господин Рытиков AKA Абдула строит абузные (абузоустойчивые - Ред.) хостинги с середины нулевых. И раз в года три ему показательно выносят дата-центр. Это просто национальный спорт у СБУшников такой: в любой непонятной ситуации выноси Абдулу”, - пишет в Facebook директор провайдера NetAssist Максим Тульев.

Абузоустойчивый (от английского abuse - злоупотреблять, ругать) хостинг - это, условно, интернет-площадка, на которой можно разместить любой материал, даже если он нарушает закон. На правопослушных площадках есть специальный адрес, куда пользователи могут слать жалобы на "плохой" сайт, после чего сайт могут забанить. Абузоустойчивые (или bullet proof) отличаются тем, что на жалобы не реагируют. Обычно из-за этого их услуги в разы дороже. Мошенники и нарушители закона предпочитают размещаться именно в них.

Оперативники действительно вынесли серверы. В частном доме под Одессой они накрыли подпольный - потому что именно под полом - дата-центр. Параллельно арестовали Рытикова и одного из предполагаемых администраторов ЦОД. Суд поместил их под двухмесячный домашний арест. Статьи подозрения - за взлом компьютерных сетей и распространение порнографии. 

Интересно, что, по информации Liga.TechМихаил Рытиков находится под домашним арестом без браслета с маячком. Как утверждают оперативники, на него просто не хватило. В Нацполиции с маячками напряженка. 

Не так быстро

Однако в считанные часы после публикации первых новостей и статей Whost-он-же-предположительно-Рытиков продолжил активничать на форумах. В частности, на ресурсе для хакеров и взломщиков Exploit. В постах он уверял, что на него клевещут.

Это породило новые версии.

“Возможно, что это был действительно абузоустойчивый хостинг, но не тот. Может, на свободе остались другие организаторы Whost, и дата-центр, который накрыла СБУ, не единственный, иначе они бы просто не смогли продолжать работать”, - писал на своей Facebook-странице хакер Sean Brian Townsend. 

Он и несколько собеседников редакции в среде белых хакеров скептически относятся к цифре “40% русскоязычного даркнета”. 

“Только лишь ру-нета, хоть и весомая часть, но не половина, Telegram больше хостит крайма (то есть незаконного контента - Ред.)”, - говорит белый хакер, с которым связалась Liga.Tech.

Представители киберсообщества говорят, что сразу после пресс-конференции СБУ аккаунт Whost закрыли на проверку - и проверку он прошел.

Хорошая мина при плохой игре

Но, похоже, восстановился Whost ненадолго. Собеседники редакции в органах утверждают, что в течение нескольких дней после взятия дата-центра Whost убеждал клиентов в том, что хостинг скоро восстановится. Мол, были проблемы с электропитанием. Но дни шли, а ресурсы не восстанавливались. 

На доступных форумах шли и продолжаются разговоры об инциденте. Участники обсуждают возможные последствия. 

Одни настроены оптимистично и высмеивают СБУ: 

Другие все-таки переживают:

По информации оперативников, Whost быстро начал терять доверие и авторитет в хакерских кругах. Его аккаунт начали банить администраторы профильных форумов. Дольше всего - пару дней - ему удалось продержаться в сообществе Exploit. “Но потом началась паника среди хакеров. И все поняли, что Whost, с якобы защищенными серверами из Бейрута, больше не работает. И вряд ли его поднимут”, - рассказывает оперативник. 

Впоследствии бан подтвердился с нескольких сторон - c Liga.Tech поделились скриншотами с форумов, где предлагал свои услуги Whost.

 

Оперативники утверждают, что когда сервера Whost были отключены, упал ряд ресурсов в даркнете. Они так и не восстановились, по их словам. В том числе лег и Jabber-сервер Exploit, с помощью которого хакеры общались между собой. Это вроде распределенного мессенджера, такой себе Viber, только для даркнетчиков. Сервер потом подняли. Но у оперативников было такое впечатление, что его восстановили из резервной копии.  

Падение Jabber-сервера стало одной из причин бана Whost на Exploit, считают оперативники. По их мнению, это равноценно потере репутации. 

Сбор доказательств

“Ни один отдельный арест не может повлиять на "хакерский мир", - считает хакер-собеседник редакции. Причем, по его словам, Whost, вроде бы, продолжает отвечать в Jabber.

Пока еще открыт вопрос по самому суду. Как уже упоминалось, официально Рытикова подозревают во взломе компьютерных сетей и распространении порнографии. Но это еще нужно доказать. Нужно связать хакерские ники с реальной личностью. Ведь подозреваемый уверяет, что ничего не знал о том, что хранилось на его серверах, и не должен был.

“Если следствие сможет доказать, что он точно знал, что размещал, то он пойдет прицепом к "неустановленной группе лиц", - объясняет хакер, с которым поговорила редакция. Например, если на сервере найдут вредоносное ПО и докажут, что Рытиков знал об этом ПО. Но сделать это будет не так уж и легко.

По мнению собеседника, если США передадут украинским силовикам свои материалы следствия, доказательства организовать будет проще. Это могут быть результаты прослушки, копии жестких дисков. Или, к примеру, спецслужбы “примут” кого-то из клиентов, у которых найдется переписка с хостером. Или деньги за хостинг передадут по незащищенному каналу. 

Зацепки прямые и косвенные

Разумеется, могут найти что-то и на изъятых серверах. Здесь собеседники Liga.Tech в органах пока ограничиваются коротким “идет экспертиза”. Но уверяют, что факты, доказывающих причастность Рытикова, уже есть. Мол, в рамках досудебного расследования было конкретно установлено, чем он занимается и каким именно образом. “Все сходится, это его сервера”, - отмечают оперативники. 

Есть косвенные намеки. Например, у Рытикова обширное имущество: несколько квартир, дорогая машина. Да, одессит теоретически мог их заработать честно. У него есть ФОП по вполне цифровым видам деятельности и два официальных бизнеса, открытые в 2009 году - Фри Тайм Компани (деятельность телефонных центров, обработка данных, размещение информации на веб-узлах), и кафе-кальянная Хабиби. Еще одна около-IT-компания - Бастион-Трейд - в состоянии прекращения. Но для понимания, этими ли бизнесами Рытиков заработал себе миллионы, нужно взглянуть на налоговые выписки. 

Кстати, сайт первого бизнеса найти не удалось. А в Instagram-аккаунте кальянной всего 21 пост. Среди них затесалось фото двух мужчин в масках Анонимуса. То ли случайность, то ли троллинг.

Источник - Instagram-аккаут кальянной Хабиби

Рытикова обыскивали не раз. И каждый раз он каким-то образом выходил сухим из воды. Почему такое не может повториться и в этот раз?

Оперативники убеждают, что разные органы в этот раз работают сообща. Каждый из них будет понимать, кто затормаживает процесс. 

“Пока все движется в суд. Все работают в унисон”, - подчеркивает собеседник в органах. 

А так это или нет, покажет время. Во всяком случае, до сих пор Михаилу Рытикову удавалось избежать хоть сколько-нибудь серьезного наказания. И за 10 лет гонки за ним даже домашний арест - достижение для украинских силовиков.