Хакерская драма: СБУ создала панику в даркнете. Правда ли это?

16 июля Служба безопасности Украины сообщила о поимке крупной рыбы хакерского океана. Ею оказался молодой парень из Одессы Михаил Рытиков. Ничем не примечательный. На первый взгляд. 

Под верхним неприметным слоем оказался целый детектив. 4 попытки ареста, международные преступления на сотни миллионов долларов, настоящий подпольный дата-центр, противостояние с иностранными спецслужбами. Liga.Tech заинтересовалась историей задержания и подробно изложила ее здесь. 

Но почти сразу в сети поползли слухи, что СБУ "как всегда" преувеличила. Мол, арестовали силовики никакие не “40% русскоязычного даркнета”. А сам хакер благополучно пишет на форумах и успокаивает панику вокруг шумных новостей о нем. 

Журналисты решили покопаться в продолжении истории. Делать окончательные выводы пока рано. Но интересных деталей добавилось.

Краткая предыстория

Уже больше 10 лет, по утверждениям силовиков, Михаил Рытиков держит дата-центры, в которых цифровые преступники размещают всякие нехорошие вещи. Например, вирусы, фишинговые сайты и прочую “запрещенку”: площадки по продаже оружия, наркотиков, детской порнографии. 

В сети, как говорят спецслужбы, Рытикова знают под никами Whost, AbdAllah, webhost, Господин Абдулла и другими. СБУ, вслед за американскими спецслужбами, считает одессита причастным к массе громких мировых преступлений. Общая цифра ущерба - больше $300 млн.

Новость об очередном задержании Рытикова наделала шуму. Но, казалось бы, яркая “перемога” СБУ вызвала и скепсис на украинском телеком-рынке. 

“Господин Рытиков AKA Абдула строит абузные (абузоустойчивые - Ред.) хостинги с середины нулевых. И раз в года три ему показательно выносят дата-центр. Это просто национальный спорт у СБУшников такой: в любой непонятной ситуации выноси Абдулу”, - пишет в Facebook директор провайдера NetAssist Максим Тульев.

Оперативники действительно вынесли серверы. В частном доме под Одессой они накрыли подпольный - потому что именно под полом - дата-центр. Параллельно арестовали Рытикова и одного из предполагаемых администраторов ЦОД. Суд поместил их под двухмесячный домашний арест. Статьи подозрения - за взлом компьютерных сетей и распространение порнографии. 

Интересно, что, по информации Liga.Tech, Михаил Рытиков находится под домашним арестом без браслета с маячком. Как утверждают оперативники, на него просто не хватило. В Нацполиции с маячками напряженка. 

Не так быстро

Однако в считанные часы после публикации первых новостей и статей Whost-он-же-предположительно-Рытиков продолжил активничать на форумах. В частности, на ресурсе для хакеров и взломщиков Exploit. В постах он уверял, что на него клевещут.

Это породило новые версии.

“Возможно, что это был действительно абузоустойчивый хостинг, но не тот. Может, на свободе остались другие организаторы Whost, и дата-центр, который накрыла СБУ, не единственный, иначе они бы просто не смогли продолжать работать”, - писал на своей Facebook-странице хакер Sean Brian Townsend. 

Он и несколько собеседников редакции в среде белых хакеров скептически относятся к цифре “40% русскоязычного даркнета”. 

“Только лишь ру-нета, хоть и весомая часть, но не половина, Telegram больше хостит крайма (то есть незаконного контента - Ред.)”, - говорит белый хакер, с которым связалась Liga.Tech.

Представители киберсообщества говорят, что сразу после пресс-конференции СБУ аккаунт Whost закрыли на проверку - и проверку он прошел.

Хорошая мина при плохой игре

Но, похоже, восстановился Whost ненадолго. Собеседники редакции в органах утверждают, что в течение нескольких дней после взятия дата-центра Whost убеждал клиентов в том, что хостинг скоро восстановится. Мол, были проблемы с электропитанием. Но дни шли, а ресурсы не восстанавливались. 

На доступных форумах шли и продолжаются разговоры об инциденте. Участники обсуждают возможные последствия. 

Одни настроены оптимистично и высмеивают СБУ: 

Другие все-таки переживают:

По информации оперативников, Whost быстро начал терять доверие и авторитет в хакерских кругах. Его аккаунт начали банить администраторы профильных форумов. Дольше всего - пару дней - ему удалось продержаться в сообществе Exploit. “Но потом началась паника среди хакеров. И все поняли, что Whost, с якобы защищенными серверами из Бейрута, больше не работает. И вряд ли его поднимут”, - рассказывает оперативник. 

Впоследствии бан подтвердился с нескольких сторон - c Liga.Tech поделились скриншотами с форумов, где предлагал свои услуги Whost.

Оперативники утверждают, что когда сервера Whost были отключены, упал ряд ресурсов в даркнете. Они так и не восстановились, по их словам. В том числе лег и Jabber-сервер Exploit, с помощью которого хакеры общались между собой. Это вроде распределенного мессенджера, такой себе Viber, только для даркнетчиков. Сервер потом подняли. Но у оперативников было такое впечатление, что его восстановили из резервной копии.  

Падение Jabber-сервера стало одной из причин бана Whost на Exploit, считают оперативники. По их мнению, это равноценно потере репутации. 

Сбор доказательств

“Ни один отдельный арест не может повлиять на "хакерский мир", - считает хакер-собеседник редакции. Причем, по его словам, Whost, вроде бы, продолжает отвечать в Jabber.

Пока еще открыт вопрос по самому суду. Как уже упоминалось, официально Рытикова подозревают во взломе компьютерных сетей и распространении порнографии. Но это еще нужно доказать. Нужно связать хакерские ники с реальной личностью. Ведь подозреваемый уверяет, что ничего не знал о том, что хранилось на его серверах, и не должен был.

“Если следствие сможет доказать, что он точно знал, что размещал, то он пойдет прицепом к "неустановленной группе лиц", - объясняет хакер, с которым поговорила редакция. Например, если на сервере найдут вредоносное ПО и докажут, что Рытиков знал об этом ПО. Но сделать это будет не так уж и легко.

По мнению собеседника, если США передадут украинским силовикам свои материалы следствия, доказательства организовать будет проще. Это могут быть результаты прослушки, копии жестких дисков. Или, к примеру, спецслужбы “примут” кого-то из клиентов, у которых найдется переписка с хостером. Или деньги за хостинг передадут по незащищенному каналу. 

Зацепки прямые и косвенные

Разумеется, могут найти что-то и на изъятых серверах. Здесь собеседники Liga.Tech в органах пока ограничиваются коротким “идет экспертиза”. Но уверяют, что факты, доказывающих причастность Рытикова, уже есть. Мол, в рамках досудебного расследования было конкретно установлено, чем он занимается и каким именно образом. “Все сходится, это его сервера”, - отмечают оперативники. 

Есть косвенные намеки. Например, у Рытикова обширное имущество: несколько квартир, дорогая машина. Да, одессит теоретически мог их заработать честно. У него есть ФОП по вполне цифровым видам деятельности и два официальных бизнеса, открытые в 2009 году - Фри Тайм Компани (деятельность телефонных центров, обработка данных, размещение информации на веб-узлах), и кафе-кальянная Хабиби. Еще одна около-IT-компания - Бастион-Трейд - в состоянии прекращения. Но для понимания, этими ли бизнесами Рытиков заработал себе миллионы, нужно взглянуть на налоговые выписки. 

Кстати, сайт первого бизнеса найти не удалось. А в Instagram-аккаунте кальянной всего 21 пост. Среди них затесалось фото двух мужчин в масках Анонимуса. То ли случайность, то ли троллинг.

Рытикова обыскивали не раз. И каждый раз он каким-то образом выходил сухим из воды. Почему такое не может повториться и в этот раз?

Оперативники убеждают, что разные органы в этот раз работают сообща. Каждый из них будет понимать, кто затормаживает процесс. 

“Пока все движется в суд. Все работают в унисон”, - подчеркивает собеседник в органах. 

А так это или нет, покажет время. Во всяком случае, до сих пор Михаилу Рытикову удавалось избежать хоть сколько-нибудь серьезного наказания. И за 10 лет гонки за ним даже домашний арест - достижение для украинских силовиков.