Хакхантеры
Киберпреступники все чаще маскируются под ИТ-компании и ищут сообщников на популярных сайтах по поиску работы. По такой схеме московская фирма несколько лет нанимала людей, которые не подозревали, что окажутся «русскими хакерами»
Летом 2018 года американский Минюст сообщил об аресте трех участников группировки FIN7, также известной как Carbanak. Группу считают причастной к взлому более 100 американских компаний и хищению данных 15 млн банковских карт. FIN7 с 2015 года совершала преступления не только в США, но и в Великобритании, Австралии и Франции. Арестованным по этому делу гражданам Украины Федору Гладырю, Дмитрию Федорову и Андрею Колпакову вменяют многочисленные эпизоды банковского мошенничества, компьютерных взломов и краж личных данных. Все они были высокопоставленными участниками хакерской группы, утверждают правоохранительные органы США.
Однако, по заявлению ряда изданий, FIN7 продолжает создавать вредоносное ПО и проводить атаки, а множество ее участников, по данным Минюста, остаются на свободе. Поиск людей в FIN7 все эти годы был организован масштабно: хакеры открыли фиктивную компанию Combi Security, которая официально занималась пентестами (тестирование защищенности ИТ-систем), и от имени которой искали сотрудников на сайтах по поиску легальной работы. Combi Security оказалась не единственной ширмой хакеров.
РБК выяснил, как выпускники московского технического вуза создали еще одну компанию, связанную с FIN7, и нанимали людей, которые сами того не зная, оказались «русскими хакерами».
Семейный IT-подряд
Весной 2018 года семья Завгородних из Тулы праздновала свадьбу сына, 25-летнего Артема. Гуляли в Москве, в украшенном золотом и лепниной Большом дворце, построенном в конце XVIII века в парке «Царицыно». Отец Артема Владимир Завгородний охотно делился снимками в соцсетях: он запечатлел себя рядом с украшенным цветами BMW, купленным незадолго до торжества, затем позировал в центре богато украшенного зала.
Владимир долгое время не имел отношения к информационным технологиям. Он работал на Тульском механическом заводе, затем создал небольшую компанию по поставкам промышленного оборудования, а потом переехал в Москву и сейчас называет себя владельцем «Центра продвижения инвестиционных проектов». Следов какой-либо деятельности этой компании обнаружить не удалось, а юридическое лицо ООО «Центр продвижения инвестиционных проектов» не существует — в 2015 году Завгородний переименовал его в ООО «Легион-Ремоут», а затем создал еще одну компанию с таким же названием в Минске. Сферой деятельности обоих предприятий указал разработку ПО.
Артем Завгородний технологиями интересовался. В 2009 году он поступил в Московский государственный университет приборостроения и информатики (МГУПИ) и стал предпринимать попытки зарабатывать в интернете. Для регистрации в различных онлайн-сервисах он выбрал себе ник zavartyom. Электронную почту с этим никнеймом Завгородний-младший использовал для переписки с корреспондентом РБК, на нее же, согласно сервису восстановления паролей, зарегистрировал своей первый аккаунт во «ВКонтакте». Те же никнейм и почту он указал на форуме для торговцев криптовалютами Hamaha и в сервисе Foursquare. В профилях во всех его соцсетях и на форуме для трейдеров есть фотографии, на которых изображен один и тот же человек.
В 2009–2010 годах на электронную почту и имя Артема, по данным Reg.ru, было зарегистрировано более десятка различных доменов — xakmen.ru, allblack.ru, forextreme.ru и др., которые zavartyom пытался безуспешно продать на специализированном форуме. В 2012-м году на banki.ru появилось сообщение zavartyom о поиске банка «для ООО, вопросы про обнал». Спустя год на форуме DarkMoney — одном из крупнейших для общения по вопросам обналичивания — zavartyom пытался продать данные о банковских картах, предложив купить у него три карты МТС Банка за 6500 руб. В 2014-м zavartyom появился на форуме Vor.nz (позиционирует себя как форум для нелегальных операций с банковскими картами, то есть кардинга) и на предложение одного из пользователей обучить кардингу оставил сообщение: «Буду рад поработать с тобой». В том же году Завгородний-младший окончил университет и с 2015 по 2017 год работал в компании отца. На его странице в LinkedIn указано, что он был венчурным партнером «Легион-Ремоут».