В середине девяностых в программе “Время” прошёл сюжет о русском хакере, который, впервые в истории, ограбил банк, физически находясь при этом в другой стране. Рассказывали, что он был арестован в Англии и будет экстрадирован в Америку, по месту нахождения ограбленного им Ситибанка. Но никаких деталей.

Прошло время. О той истории и сейчас мало что можно найти, поэтому было особенно интересно раскопать, что же там произошло на самом деле. Подробности оказались довольно интересными, так что не могу ими не поделиться.

Дело Владимира Левина

На заре становления интернета существовало несколько различных конкурирующих сетей. Единого интернета ещё не было. Каждая из сетей использовала свои принципы и протоколы. Каждая имела свою собственную экосистему. Подключившись к одной сети вы не могли напрямую общаться с людьми, которые использовали другую сеть. Существовали компьютеры, которые могли подключаться к обеим сетям одновременно, но такие шлюзы были редкостью.

Одной из таких конкурирующих сетей была Telenet (не путать с telnet). Она была достаточно обширной, но использовала совершенно иные принципы, нежели современный Интернет. В те времена интернет был доступен только правительственным учреждениям, но Telenet был построен на протоколе X.25, который позволял подключиться к сети всем желающим, что и привело к его популярности. Всё, что требовалось для подключения - это модем и телефонная линия. Никаких договоров с провайдерами, достаточно было просто позвонить на телефонный номер одного из коммутаторов, и вы в сети. Крупные компании стали подключаться к Telenet, чтобы обеспечить связь между филиалами.

Этой сетью пользовались Apple, Dun & Bradstreet, Westinghouse, Boeing, Sprint и другие. Компания Sprint видела в Telenet настолько большой потенциал, что фактически купила ее и переименовала в Sprintnet. Сеть продолжала расти, покрывая штат за штатом.

Но при всей доступности, пользоваться Sprintnet было несколько сложнее, чем зайти в Google и ввести поисковый запрос. В основном в сети размещались BBS - электронные доски объявлений, что-то типа современных онлайн-форумов, которые использовались для обмена информацией между пользователями. Чтобы попасть на BBS нужно было где-то узнать информацию о подключении к ней, например, в журнале или у знакомых, подключиться к Sprintnet, ввести несколько команд и чисел, и, если повезёт, увидеть интерфейс управления в виде командной строки.

Sprintnet совсем не был юзер-френдли. Требовалась практика и терпение, чтобы научиться не просто подключаться к нему, но и находить хоть что-то интересное. Сегодня Интернет насчитывает миллиарды пользователей и миллионы сайтов, но в 90-е годы к Sprintnet было подключено всего несколько тысяч серверов. Это было похоже на блуждание в потёмках, если, конечно, у вас не было чёткого плана, что нужно сделать.

Примерно в то же время появился онлайновый журнал Phrack, который к 1993 году насчитывал аж 41 номер, в каждом из которых описывались новые методы хаков и всякая полезная информация для хакеров. Phrack - самый долгоживущий хакерский онлайн-журнал, который выпускается и по сей день. А в марте 1993 года вышел 42-й номер Phrack, в котором, помимо инструкции по подключению к Sprintnet, был представлен список всех известных узлов сети.

Список был разбит на разделы по штатам или компаниям, подключенным к Sprintnet. Например, были перечислены номера для подключения к Apple, Westinghouse, куча номеров для связи с Ситибанком - крупным банком США со штаб-квартирой в Нью-Йорке. Ситибанк использовал сеть Sprintnet для связи между своими основными офисами и другими банками, которые также были подключены к сети. Офисы Ситибанка находились в Сингапуре, Маниле, Токио, Нью-Йорке, Милане, Париже, и все они были связаны через Sprintnet. Но опубликован был всего лишь справочник адресов. В нем указывался код города, а затем номер из одной-четырех цифр, который являлся адресом сети. Это было просто перечисление компаний, использующих Sprintnet. Но несколько хакеров из Санкт-Петербурга обратили внимание на эти списки адресов и стали пытаться к ним подключиться.

Почему русские интересовались Sprintnet? Всё просто - это была на тот момент самая большая сеть в мире. Всего лишь один информационный сервис в этой сети, Dialog, предоставлял доступ к базам данных, по объему в двадцать раз превосходившим объем всего публичного Интернета на тот момент.

А, кроме того, в Sprintnet не надо было регистрироваться и можно было бесплатно соединяться с хостами, которые готовы были оплачивать входящие соединения (reverse charged calls). И такие хосты были - большие службы и сервисы различных компаний. Оплата за использование всё же предполагалась - службы присылали счета за подключение, но кто же их оплачивал из России?..

Были известны номера служб, которые можно было использовать как шлюз в интернет, но их администраторы быстро пресекали деятельность халявщиков - ведь оплачивались соединения через Sprintnet самими этими службами, и в большинстве случаев всё заканчивалось запретом на приём звонков из России.

К 1994 году большая часть халявы уже закончилась, и поэтому опубликованный список хостов Sprintnet вызвал всплеск интереса, и опубликованные адреса немедленно начали исследоваться: среди хостов оказалась BBS, которую зачем-то установили в Ситибанке. А в коде этой BBS обнаружилась куча дыр, позволяющих устанавливать произвольные лимиты пользователям, и в результате она стала достаточно популярна: русские использовали её для общения с друзьями из разных городов, благо платил за все Ситибанк.

Самим Ситибанком Sprintnet использовался для связи разных филиалов друг с другом, так как внутренние сети банка были построены на аналогичной технологии. Исследуя хосты Ситибанка, хакеры наткнулись на консоль какого-то маршрутизатора. Его интерфейс RS-232 был физически воткнут в порт терминала. Подключившись к этому сервису можно было увидеть приглашение: “Password:”. Но однажды в консоли обнаружилась рабочая командная строка. Вероятно, местный администратор после завершения работы забыл набрать logoff. А так как подключение было аппаратным, устройство не могло узнать, что пользователь уже отключился от программной консоли. Воспользовавшись нечаянным доступом, хакеры изучили конфигурацию роутера и выяснили пароли доступа к нему: cisco и access - шифрованием тогда не заморачивались. А запустив на нём ISS - программу для сканирования сетей, в руках питерских хакеров оказалась карта топологии сети всего Ситибанка, со всеми его серверами и роутерами. После этого попасть внутрь сети Ситибанка стало возможно через любой Sprint-терминал.

Один из хакеров, назовём его Буказоид, продолжил копать сеть Ситибанка вглубь, и обнаружил, что один из терминальных серверов не отслеживал отключение клиентов. Можно было подключиться к порту, с которым только что работал пользователь, и, если пользователь отключился, не завершив сеанс, получить доступ к открытой консоли, и продолжить работу от имени этого забывчивого пользователя.

У серверов доступа была команда show users, показывавшая всех клиентов и порты с адресами компьютеров, к которым они были подключены. Заходишь на сервер, набираешь show users, сохраняешь список, отключаешься, и начинаешь перебирать адреса, пытаясь подключиться к сессиям этих пользователей. Не раз Буказоид оказывался подключенными через этот сервер и к компьютерам, отвечающим за финансовые операции. Можно было просто ввести номера счета отправителя, получателя и перевести деньги. Но заниматься криминалом Буказоиду было не интересно, а вот хвастаться своими достиженяими - очень даже да. Он рассказал о найденных возможностях своему знакомому, Владимиру Левину.

Владимиру было тридцать лет, он жил в Санкт-Петербурге и работал сисадмином в компании Сатурн, дистрибуторе чего угодно. В частности, они продавали непонятно где сваренное “английское” пиво “Монарх”, орг.технику и программное обеспечение. Владимир очень заинтересовался найденными Буказоидом лазейками и заплатил ему сто долларов за всю информацию: куда и как подключиться, известные логины-пароли, и как сделать банковский перевод.

Придя на работу, где была хорошая техника, Владимир вошел в Sprintnet. Подключился к системе управления денежными средствами Ситибанка и убедился, что она реагирует на его команды. Он понимал, что дело это серьёзное, и глупо переводить деньги прямо себе, в Петербург. Он договорился с другом о том, что тот поедет в Финляндию, и снимет деньги со своего счёта в финском банке. Друг отправился за границу и стал ждать распоряжений, а Владимир ввёл команду на перевод денег в Финляндию и нажал Enter.

Всё прошло удачно. Перевод был выполнен. Владимир позвонил в Финляндию своему другу и сообщил, что можно снимать деньги. Друг пришёл в банк, снял только что перечисленные 400 тысяч долларов и уехал из страны.

Узнав о краже, Буказоид испугался, и признался товарищам, что он продал доступы Владимиру. Хакеры, разделяя ужас Буказоида, уничтожили, насколько это было возможно, следы своего пребывания в сетях Ситибанка, и больше к ним не подключались.

Владимиру же азарт от кражи вскружил голову. Это было как-то слишком легко. Хотелось повторить, и он стал придумывать, как провести следующую операцию.

Но на другом конце земного шара, в Нью-Йорке, эта трансакция вызвала срабатывание тревоги в системе контроля. Службы Ситибанка заметили её, но слишком медленно отреагировали и не успели остановить перевод. Это были большие деньги и поэтому Ситибанк обратился в ФБР.

Стив Гарфинкель работал в нью-йоркском отделе ФБР и ему было поручено заниматься делом Ситибанка. В то время в ФБР ещё не было киберподразделений. Не было и специализированных отделов, так что Стив совсем не был компьютерным экспертом. Пришлось всему учиться прямо по ходу дела. Но, справедливости ради, роль агентов заключается не в том, чтобы разобраться в произошедшем, а в сборе доказательств, которые будут использованы в ходе судебного разбирательства.

Техническими вопросами занимался сам Ситибанк. Его службы самостоятельно следили за трансакциями и передавали информацию о нарушениях Стиву в ФБР. В банке знали, как обнаружить фальшивый перевод. Они ждали, когда взломщик появится вновь, чтобы немедленно позвонить в ФБР в тот же момент, как заметят его.

В Петербурге у Владимира был друг, нейрохирург по специальности. Но после развала Союза, этот парень обнаружил, что может зарабатывать намного больше денег, занимаясь дистрибьюцией компьютеров, чем хирургией, и переключился на эту работу. Такое занятие требовало наличия связей в криминальных структурах, и Владимир, зная это, рассказал товарищу об успешном переводе, попросив помочь со связями. В ответ друг познакомил Владимира с несколькими ребятами из тамбовской группировки Санкт-Петербурга.

Это были выходцы из Тамбова, бывшие борцы, которые организовали одну из самых влиятельных банд Петербурга. Они занимались рэкетом и крышеванием бизнеса, вступая в разборки со множественными конкурентами, захватывая новые территории и оставляя за собой кровавый след везде, где бы ни появились. Владимир встретился с тамбовскими и попросил помочь ему с обналичкой денег из банков, разбросанных по всему миру. Руководители банды согласились, и взяли на себя поиск подходящих курьеров, финансирование международных перелётов, открытие банковских счетов, снятие денег и перевозку их обратно.

Был разработан подробный план и первый человек полетел в Аргентину, открыл там счет в банке и сообщил Владимиру его реквизиты. Владимир поехал на работу, включил компьютер, подключился к Sprintnet, вошел в Ситибанк и набрал команды для перевода. Деньги упали на банковский счет в Аргентине. Но Ситибанк сразу же засёк эту операцию и сообщил в ФБР.

ФБР по своим каналам немедленно связалсь с банком-получателем и счёт был заморожен. Когда член тамбовской банды пришёл в банк, но понял, что счет заблокирован и он не может снять деньги, то быстро покинул банк и вернулся в Россию. Все произошло слишком быстро, чтобы аргентинская полиция успела среагировать. Эта операция оказалась неудачной для Владимира, но это его нисколько не остановило. Он предпринял еще одну попытку, переведя большую сумму денег сообщнику в Израиль. Но Ситибанк сразу же обнаружил этот перевод и уведомил ФБР. На этот раз полиция сработала быстро и арестовала парня по имени Алексей Лошманов.

Опять неудача. Но Владимир не знал о том, что за этими неудачами стоит банк. Вместе с бандой Владимир организовал ещё одну попытку. На этот раз парень по имени Евгений Корольков, вместе со своей женой отправится в Сан-Франциско и откроет там множество банковских счетов. План состоял в том, чтобы сделать несколько банковских переводов и посмотреть, пройдет ли хоть один из них. Евгений открыл в Сан-Франциско пять банковских счетов, но по какой-то причине не стал ждать. Он покинул страну и вернулся в Россию, оставив снимать деньги свою молодую жену Катерину. Владимир получил номера банковских счетов и принялся за работу. Переводы были выполнены, и Катерине сообщили об этом. Она пошла в банк, чтобы снять деньги.

В этот момент сработала система мониторинга и сотрудники уже знали, что в Сан-Франциско был сделан перевод украденных средств. Катерина попыталась снять деньги, но её попросили прийти на следующий день, объяснив это неполадками в программе. Когда Катерина вернулась днём позже, ее уже ждали сотрудники ФБР, которые арестовали ее и переправили в тюрьму Нью-Йорка в ожидании суда.

Она держалась уверенно, но перед самым началом заседания занервничала, согласилась сотрудничать и позвонила мужу в Россию. Она была крайне зла на него за то, что он бросил ее и позволил попасть в тюрьму. Она требовала, чтобы он вернулся и помог её вызволить. Один из агентов признался, что она буквально угрожала по телефону, и в итоге ей удалось убедить Евгения сотрудничать с ФБР.

Это было чистое везение: у арестованного в Израиле парня был хороший частный адвокат, а у Катерины - бесплатный государственный, поэтому её муж очень разозлился, когда это узнал, и согласился позвонить Владимиру Левину под запись. Немедленно ФБР организовало трёхсторонний звонок: ФБР - Корольков - Левин. Владимир ни о чём не догадался и в разговоре фактически признался во всей схеме.

Теперь у ФБР есть доказательства того, кто стоит за этим делом, включая имя и место. Этого им достаточно, чтобы начать преследование Владимира. Но между США и Россией нет соглашения об экстрадиции и поэтому русские не собираются арестовывать Левина.

Тем временем Евгений Корольков прилетает из России в Нью-Йорк, чтобы помочь своей жене и сдаться. Стив Гарфинкель и команда ФБР встречают его в аэропорту и как только он сходит с борта самолета, приступают к аресту, но у него есть для них сюрприз - он взял с собой свою шестилетнюю дочь. Сотрудники не могут просто оставить дочь одну, и вдобавок, миграционная служба отказывается пускать в страну Евгения с дочерью, так как у них нет визы. И им наплевать, что агенты ФБР требуют пропустить важного свидетеля. Но Стиву везёт: среди сотрудников миграционной службы он узнал парня, с которым ездил в летний лагерь, когда был ребенком. И через него удаётся пробить согласие на въезд.

Но ФБР по-прежнему в полном недоумении, что делать с девочкой. В итоге и Евгений и Катерина оба в тюрьме, а Стив берёт шестилетнюю дочь с собой, пока не придумает, что с ней делать. За целый день в машине агента ребёнка укачало, и её стошнило прямо на заднее сидение. В конце концов Стив добивается освобождения матери под залог, используя для этого средства, предназначенные для выплаты информаторам. Мать не имеет права покидать страну, и поэтому Стив находит им временное жильё и устраивает девочку в школу, разрулив ситуацию как заправский социальный работник.

А в это время Владимир переводит 1,5 миллиона долларов в Роттердам (Голландия). Ситибанк сообщает в ФБР и те немедленно звонят в банк и в полицию Голландии, привлекая всех к работе. Полиция задерживает Анатолия Лысенкова при попытке снять полтора миллиона долларов в одном из банков Голландии. Стив приезжает и допрашивает, но Анатолий всё отрицает, рассказывая, что он забирал деньги для знакомого, и не знал, что они краденые. Заканчивается всё это тем, что Анатолий отказывается от экстрадиции и соглашается добровольно приехать в США, а в Америке сознаётся, что что он никакой не Анатолий Лысенков, а Владимир Воронин и рассказывает, всё как было.

В Петербурге Левин продолжает попытки перевода денег. В течение последующих шести месяцев он осуществил множество попыток перевода денег на общую сумму более десяти миллионов долларов. Все они были пресечены Ситибанком и ФБР. Российская милиция в курсе, что ФБР разыскивает Левина, но не оказывает полного сотрудничества - в России ещё не существует наказания за компьютерные преступления, но русские, тем не менее, оказывается, давно в курсе происходящего: когда ФБР устраивали созвон между Корольковым и Левиным и прослушивали их разговор, его прослушивали и в милиции. Они занимались расследованием дела тамбовской группировки, и изучали все их связи, прослушивая телефонные разговоры и собирая информацию о том, какие преступления готовятся на территории России.

Все перемещения Левина контролируются, и когда он покидает страну, милиция сообщают об этом в ФБР. Владимир направляется в Голландию. Перелёт у него не прямой, с пересадкой в Лондоне, в аэропорту Станстед. Когда Стив и ФБР получают эту информацию, они немедленно связываются с полицией Великобритании, которая и проводит арест Владимира прямо в зале ожидания. Но Владимир всё отрицает, заявляя, что не имеет никакого отношения ко взлому, и утверждает, что он полностью невиновен. ФБР начинает уже сомневаться в своих действиях, ведь единственное, что у них есть - это запись телефонного разговора между Корольковым и Владимиром, в котором Владимир признаётся в содеянном.

В это время в России заканчивают разработу тамбовской банды и начинаются аресты её участников. Компьютеры, на которых работал Левин, также оказываются арестованными. Узнав об этом, Гарфинкель немедленно выезжает в Россию, в паре с техническим специалистом, разбирающемся в компьютерах, и им удаётся найти доказательства, что именно компьютер, за которым работал Левин, использовался для взлома Ситибанка. Стив так обрадовался находке, что поделился новостью с российскими коллегами из управления милиции в Санкт-Петербурге. И хотя время было около 11 часов утра, это стало началом большого праздника. Стив признаётся, что ни до того случая, ни после, ему не приходилось пить столько водки. Безумствовали весь день, закусывая солеными огурцами, а вечером пошли куда-то на вечеринку. Празднование настолько удалось, что с утра некому было отвечать на телефон.

Теперь ФБР было уверено в раскрытии дела. Арестован главный хакер, изъяты компьютеры, с помощью которых все это делалось, и под арестом четыре члена этой банды - Владимир Левин по-прежнему содержится в тюрьме в Великобритании.

После тридцатимесячного содержания в британских тюрьмах Владимир Левин был экстрадирован в США. На суде, осознав количество улик, он во всем признался. Левин предпринял сорок попыток мошеннических денежных переводов на сумму больше 10 миллионов долларов и ему удалось похитить 400 тысяч до того, как в дело вмешалось ФБР. Ни Ситибанк, ни ФБР не смогли найти и вернуть эти деньги. Владимир был приговорен к трем годам лишения свободы, но тридцать месяцев, которые он провел в британских тюрьмах, были зачтены в срок, и поэтому в американской тюрьме ему пришлось отбывать меньше года. Также его приговорили к выплате ущерба в размере 240 015 долларов.

После отбытия положенного срока, Владимир Левин сел на самолёт в направлении Восточной Европы и о дальнейшего его судьбе ничего не известно.





Источники:

https://darknetdiaries.com/transcript/23/
https://web.archive.org/web/20130223042904/http://www.providernet.ru/article.37.php
https://publications.parliament.uk/pa/ld199798/ldjudgmt/jd970619/levin.htm
https://www.fbi.gov/news/stories/a-byte-out-of-history-10-million-hack
https://www.nytimes.com/1995/08/19/business/citibank-fraud-case-raises-computer-security-questions.html
http://articles.latimes.com/1995-08-19/business/fi-36656_1_citibank-system
https://www.revolvy.com/page/Vladimir-Levin
https://www.wired.com/1998/02/russian-bank-hacker-sentenced/
https://bugtraq.ru/library/books/attack3/intro/#levin
http://phrack.org/issues/42/8.html#article
https://www.kommersant.ru/doc/2286437
https://www.kommersant.ru/doc/2286453
https://www.kommersant.ru/doc/2286464
https://web.archive.org/web/20131129000400/http://www.nestor.minsk.by/kg/2003/36/kg33614.html
https://web.archive.org/web/20160507063512/https://bugtraq.ru/library/books/attack3/intro/#levin