Арестованный хакер Константин Козловский рассказывает, что действовал по заданию ФСБ
27 Декабря 2017

• Версия для печати

Арестованный по делу о кибермошенничестве хакер Константин Козловский рассказал о том, как создавал для спецслужб вирусы Lurk и WannaCry

Российские спецслужбы причастны не только к взлому серверов Демпартии США, но и к разработке вирусов Lurk и WannaCry (первый украл 1,2 млрд рублей со счетов российских банков, а второй парализовал компьютерные сети десятков компаний по всему миру), утверждает арестованный по делу о кибермошенничестве хакер Константин Козловский. Как он рассказал в письменном интервью Дождю, и за кибератакой на США, и за разработкой обоих вирусов стояла ФСБ.

Хакер Константин Козловский — один из арестованных по делу о хищении у банков 1,2 млрд рублей с помощью вируса Lurk. По этому делу летом 2016 года были задержаны несколько десятков человек.

В сеть утекли протоколы судебных заседаний, в которых ключевой фигурант — хакер Константин Козловский — заявляет, что взламывал переписку Хиллари Клинтон и почту Демократической партии США. Адвокаты других обвиняемых в беседе с корреспондентом RT усомнились в заявлениях Козловского: по их словам, речь идёт просто о крупной группировке взломщиков, кравших деньги у российских банков. Слова же Козловского, считают эксперты, могут быть попыткой уйти от ответственности. Источники во ФСИН утверждают, что Козловский изолирован и не имеет доступа к интернету, а материалы в сеть выкладывают неизвестные заинтересованные лица.

В августе 2017 года в ходе судебного заседания Козловский взял на себя ответственность за взлом комитета Демократической партии США по заказу сотрудников ФСБ. Это следует из протокола и аудиозаписи судебного заседания, опубликованных на странице Козловского в фейсбуке. Интернет-издание The Bell подтвердило подлинность этих документов.

По словам Козловского, его и других хакеров курировал майор ФСБ Дмитрий Докучаев, который в декабре 2016 года был арестован по делу о госизмене. Кроме Докучаева тогда были арестованы его начальник — замруководителя центра информационной безопасности (ЦИБ) ФСБ Сергей Михайлов, сотрудник «Лаборатории Касперского» Руслан Стоянов и бывший сотрудник ФСБ Георгий Фомченков. Их подозревают в передаче американским спецслужбам данных о российских хакерах, писал Дождь.

Телеканал Дождь вступил в переписку с Константином Козловским. Он признался, что его сотрудничество с ФСБ не ограничилось кибератаками на США.

— Все сообщения западных СМИ о русских хакерах — это все я. А Lurk — это только 10% от всей моей деятельности.

— Как вы можете доказать, что участвовали во взломе Национального комитета Демократической партии США?

— На вебсервере во внутренней сети Демпартии я оставил .dat-файл с номером моей визы на остров Сен-Мартен и номером паспорта. Решил там оставить все это просто на уровне чуйки. Если Штаты сделали снапштоты, можете проверить. Или в бэкапах за сентябрь 2015 года этот файл должен быть. Это основное доказательство, которое я могу предоставить из застенка.

— Участвовал ли еще кто-нибудь из организованной вами группировки Lurk во взломе серверов Демпартии Клинтон?

— Никто не участвовал, так как все, кого арестовали, занимались разработками, пребывая в неведении, на кого и зачем они работают.

Специфика работы так называемого Lurk и его модификаций, а также другого созданного мною софта такова, что и Докучаев, и те, кому он дал доступ, могли самостоятельно вести работу с зараженными объектами.

Проще сказать, что мы не взломали, а создали продукт, который без прикрас взломал всю Россию. Большой вопрос, зачем лично Докучаеву это было нужно. Лично для меня это были обкатка и тестирование.

Конечно, это смешно, когда для «обкатки» продуктов используется «Роснефть», «Газпром», «Лукойл», «Сбербанк», но это было именно так. Отдавал ли Докучаев добытые при этих взломах сведения за границу, я не знаю.

27 июня 2017 год, когда ко мне в СИЗО приходил сотрудник Управления службы безопасности ФСБ, я ему рассказал в том числе про «Роснефть».

— Какие еще продукты вы создавали по заказу спецслужб?

WannaCry — это вирус, который написали мы.

Когда я смотрел телевизионный сюжет, где рассказывали о WannaCry, я увидел до боли похожий мне локер [программа-вымогатель]. «Морду» этого вируса делали люди из моей группы. «Морда» — то что, отображается на компьютере в момент блокировки. <…>

— Чем докажете свои слова о том, что именно ваша группа разработала WannaCry? Специалисты говорят, что сигнатуры вирусного кода совпадают с сигнатурой кода, использовавшегося хакерской группой Lazarus Group (предположительно Северная Корея).

— «Обкатка» WannaCry прошла в компании «Самолет Девелопмент». Но важнее даже то, что мы изобрели специфику распространения вируса: заразить один компьютер в корпоративной сети, поднять привилегии, получить доступ к домену администратора и одной кнопкой остановить деятельность компании любого размера.

Идея одновременного заражения через домены Windows — то есть остановка всех машин предприятия или организации — принадлежит мне. Она должна была «обкатываться» на предприятии «Новолипецкий металлургический комбинат», мы бы попробовали остановить там доменные печи. Сейчас пишу и как-то жутковато.

— Кто еще вместе с вами участвовал во взломе? Разыскиваемый в США россиянин Евгений Богачев? Человек, скрывающийся за никнеймом Guccifer 2.0?

— Я не знаю этого человека, как и всех тех, кого обвиняют в Штатах во взломах из России. Знаком мельком с Никулиным (россиянин Евгений Никулин, подозреваемый во взломе Linkedin, Dropbox и Formspring. — Дождь), познакомились летом 2013 года по автомобильной тематике.

— Как вы начали сотрудничать со спецслужбами?

— 2 апреля 2006 года у меня дома были обыски по мошенничеству, тогда ничего не нашли, а дело замяли. В то время я уже общался с Докучаевым — наше знакомство состоялось на фоне обсуждения взломанного мной Министерства энергетики США, а также поставок «карженной» (купленной по краденным или взломанным кредитным картам. — Дождь) техники из-за границы. Дима тогда еще не был агентом, зато уже уяснил тонкости моей биографии, из-за чего и получилась вся история.

[В 2008] мне дали выбор: [сотрудничество] или они сообщат за границу спецслужбам о моих делах с Amazon и о «карженной» технике. Дима знал, что мне очень нравится путешествовать. И так я стал работать на них, в принципе не отказывая себе в поездках за границу.

Образ жизни я вел довольно скрытный, практически нет фотографий, мобильным телефоном практически не пользовался. Встречался с Докучаевым во время беспорядков на Манежной площади и во время митинга против ареста Навального в лобби гостиницы Ritz Carlton, зарегистрирован в отеле был на свое имя. Также встречался с Докучаевым 24 января 2011 года в аэропорту Домодедово — за 5-10 часов до теракта в зале прилета международных авиалиний.

— Вы отрицаете предъявленные вам обвинения в кибермошенничестве?

— Я не отрицаю того, что мне вменяют, за исключением хищений с корсчетов банка «Таатта», «Металлинвестбанка» и «Грант Инвест Банка».

Да, мои структуры по обналу обналичивали средства оттуда. Однако технически хищения осуществляли Докучаев и компания. Для нагнетания хакерской истерии и выпиливания средства из бюджета, для создания «ФинЦЕРТ» (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере. — Дождь) и ему подобных. Работа по юридическим лицам была изначально поставлена сотрудниками ЦИБ ФСБ для материальной подпитки моих проектов. Разрешено было похищать средства для разработки программ, ну и делиться.

— Как вы объясняете свой арест по делу Lurk?

— Видимо, в определенный момент что-то не так пошло внутри самой спецслужбы, из-за этого все и порушилось. Для меня загадка, кто принял это решение, так как они лишаются стратегических разработок ради сиюминутного пиара для «Лаборатории Касперского» (выступала экспертов по делу Lurk. — Дождь) и спецслужб, ради нескольких звездочек. А украденные у меня программы стареют с каждым днем.

[Своими действиями] они усиливают отток мозгов из страны, так как никто теперь не захочет им доверять.

— Большой вопрос по цифровым уликам. Вы пишете, например, что взламывали Министерство энергетики США, сервера Демократической партии — осталась ли у вас дома та машина, с которой вы осуществляли эти взломы?

— Наше задержание — как раз чтобы скрыть цифровые улики. Экспертизы по моим компьютерам не проводились. Назад их мне не отдают. В экспертизе от «Лаборатории Касперского» такая формулировка: «Не удается провести экспертизу в связи с тем, что нужен пароль». Хотя летом я передал пароли Жукову – сотруднику, сопровождающему дело Докучаева. После чего он пропал.

Комментарии упомянутых Козловским компаний

«Лаборатория Касперского» отказалась предоставить комментарий, но дала Дождю ссылки на «на работу сторонних экспертов о WannaCry». Исследования компаний Symantec и FireEye предоставляют косвенные доказательства того, что хакеры, стоящие за распространение WannaCry, могут оказаться группировкой из Северной Кореи. В ФСБ не ответили на вопросы Дождя.

Представитель «Самолет Девелопмент» ответил, что в компании «создана и внедрена система информационной безопасности с использованием средств защиты информации, сертифицированных ФСБ России и ФСТЭК России». В 2015 году компания действительно пережила атаку, по итогам которой 90% ущерба было восстановлено в течение одного дня и 100% ­— в течение трех дней, сообщили в пресс-службе. «За 2016 и 2017 годы все подобные инциденты были своевременно выявлены и локализованы благодаря вышеуказанным средствам защиты, а также оперативным действиям сотрудников управления информационной безопасности», — добавили в пресс-службе.