Встретились с нашумевшим «хакером из Речицы», на которого Microsoft «вешал» $10 млн, а на задержание приехали сотрудники ФБР и Интерпола. Публикуем их материал.
Сергей Ярец, известный как «хакер из Речицы», говорит, что его дело, суд по которому был 9 августа, - пример того, как из мухи можно раздуть слона. Признается, что с ужасом читал о себе, как об «одном из самых плодовитых киберпреступников Европы».
«В СИЗО говорили: если тебя показали по телевизору - „условкой“ не отделаешься. А меня показали четыре раза. В статьях навешали ярлыков. Понятно: журналистам нужны просмотры. Кто же тогда думал, что судья, почитав всё это, легко мог бы накинуть „выдающемуся хакеру“ год-другой», - с досадой отмечает Сергей.
dev.by встретился с Сергеем Ярцом на конференции LVEE, где тот выступал с блиц-докладом по кибербезонасности, и первым выслушал его историю от начала и до конца.
Справка. Сергей Ярец родился в 1983 году. Работал главным инженером в местной телекомпании. Был администратором на форуме damagelab, где его знали под ником Ar3s.
В течение трёх лет вплоть до декабря 2015 года занимался техподдержкой лоадера Andromeda, который считался «одним из крупнейших ботнетов в Сети».
Был задержан 27 ноября 2017 года сотрудниками Следственного комитета Беларуси и Управления «К» МВД совместно с ФБР и Интерполом. Обвинялся сначала по части 2, а спустя полгода - по части 1 статьи 354 УК («Разработка компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения, блокирования, модификации или копирования информации»).
9 августа суд Речицкого района вынес приговор: Сергей Ярец был признан виновным, ему надлежало выплатить штраф 120 базовых величин. Поскольку до этого мужчина около шести месяцев провёл в СИЗО, штраф он платить не будет.
«Ходил в FidoNet, как другие дети ходят в цирк»
Компьютерами я увлёкся ещё в школе. Своего не было - скитались с друзьями по знакомым. Литературы тоже не было. Помню, моя учительница то ли купила, то ли взяла у кого-то на время книгу Фигурнова «IBM PC для пользователя». Я недели две ходил за ней - упрашивал дать почитать. В итоге она одолжила мне книгу на одну ночь. Я не сомкнул глаз, читал запоем, а самые интересные моменты конспектировал.
Это были времена, когда мир менялся на глазах: появлялись новые технологии. Мать говорила: «Сынок, иди на хирурга - и дело доброе будешь делать, и без денег не останешься». А я хотел стать компьютерщиком.
Свой собственный компьютер собрал сам: накопил денег - сумасшедшую для того времени сумму в $400, съездил один, без родителей, в Минск и купил необходимые запчасти и комплектующие. Счастлив был безмерно.
Уже будучи ПК-пользователем, я присоединился к FidoNet. С этого и начался мой интерес к «тёмным», как их называли в статьях по моему делу, форумам. В Fido проводились эхоконференции и обсуждались вопросы безопасности. Я ходил туда с тем же чувством, с каким другие дети ходят в цирк: грамотные технари охотно делились знаниями, рассказывали, как что устроено изнутри, раскрывали взаимосвязи - а я следил, читал и впитывал, как губка.
Да, я был ещё школьником, но в FidoNet все были без возраста. Там сидели настоящие эксперты в своём деле, либо, как их ещё называли, хакеры. Они изучали системы, находили в них уязвимости, и не просто писали администратору о бреши в системе, но в идеале ещё и отправляли инструкции, как её закрыть. Специалисты старой школы, одним словом.
«Хороший эксперт - обязательно хороший взломщик»
С распространением интернета начался настоящий форум-бум. Я как-то попал на форум, который впоследствии стал damagelab, - и остался там надолго. Молодёжь в возрасте от 14 до 17 лет обсуждала настолько сложные технические вопросы, что мне было немного неловко. Я понял: здесь мне есть куда расти.
Стоит объяснить, почему мне было это интересно. Я часто настраивал защиту разных систем, и хотел узнать, как работает «нападение». И замечу вот что: если какой-то эксперт по кибербезопасности скажет вам, что он весь из себя такой правильный - не верьте! Хороший эксперт - это обязательно хороший взломщик, он знает кухню изнутри. Просто об этом не говорят.
Шли годы, на damagelab сменялись поколения, и оставались фанаты - те, кто этим жил. В какой-то момент админ, который вёл форум, заявил, что закрывает его, - он устал. Я предложил ему дать мне права администратора, чтобы damagelab жил и дальше.
Хакерские форумы постоянно подвергаются атакам, и чтобы отбиваться, мне нужно было платить за абузоустойчивый хостинг и домен, за сертификат, который нельзя купить на реальное имя. Суммы выстреливали во-о-от такие. Они порой даже не компенсировались рекламой.
Пресса писала, что меня приглашали «как независимого эксперта» оценить вредоносное ПО. На самом деле я делал обычные обзоры, чтобы пользователи не попадались на удочку «кидал», загонявших тяп-ляп-слепленные продукты в том числе и у нас на форуме. С владельцами программ договаривался: пишу только правду, если найду недостатки - не умолчу, но и о достоинствах расскажу.
Так я знакомился с разработчиками, которых впоследствии задерживали ФБР и Интерпол. Необычные люди, надо сказать. Не такие, как все.
«Ддосеры - самые неуравновешенные люди из всех, кого я знаю»
В своё время damagelab знали как киберлабораторию и как «купи-продай-форум», но когда админом стал я, мы ушли от опасных тем. Под запретом, к примеру, был кардинг: я вычистил форум от сообщений такого рода и пообещал, что каждый создатель такого топика получит «баню» и улетит с форума.
Точно так же я поступил с темой DDos. Ддосеры - самые неуравновешенные люди из всех, кого я знаю. Они уверены, что могут «завалить любой сайт», мнят себя суперзлодеями, а на деле это кучка малолеток, переживающих трудности переходного возраста. Мне такие не интересны. Убрав их с damagelab, я убедился, что сделал всё правильно. Более двух месяцев они бомбили в отместку форум - он просто не поднимался.
Вокруг тем, которые я развивал и поддерживал, образовалась группа разработчиков. Принято считать, если программист сидит на хакерском форуме, он пишет malware - но это не так. У нас на форуме культивировалось низкоуровневое программирование, а настоящих спецов в этом очень-очень мало.
Последние несколько поколений форумчан меня не радовали, общий уровень упал: пришли люди, которые хотели лишь «по-быстрому срубить бабла». Они творили абы что - писали тяп-ляп, и тут же начинали это продавать, кидались в чернуху, вроде кардинга, не чурались такой грязи как локеры и шифраторы.
Я вычислял их уже постфактум, когда читал на каком-то сайте, что появилась новая утилита с такими-то недочётами. И вспоминал о пользователе, который спрашивал на форуме об этой функции, и об этой, и совершал ровно такие же ошибки. С вероятностью 99,5% это он и есть.
Сейчас на всех форумах печально: молодёжь не хочет учиться. Это видно по постам, по сообщениям. Они хотят быстрых денег. И это очень раздражает.
Знакомство с автором Andromeda: «Продавцов лоадеров на моей памяти никогда не задерживали»
Расскажу, как познакомился с Waahoo - автором лоадера Andromeda. Он вышел победителем в хак-квесте, который я проводил на форуме. Я рассчитывал, что квест продлится максимум сутки, но участники выполняли задания больше трёх дней - было и тяжело, и интересно.
К тому времени у Andromeda уже было имя, а у Waahoo - энное количество клиентов. Он обратился ко мне с предложением: мол, сам всё не успеваю, давай я продолжу разработку, а ты займёшься техподдержкой и будешь получать процент от продажи.
Я давно в этой среде: видел, какие бешеные деньги зарабатывали люди, какие вещи они творили, - и перестал воспринимать лоадер как что-то опасное. Да, через эту безобидную программку можно запустить более жёсткое вредоносное ПО, но тут-то моя совесть чиста, успокаивал я себя.
Да, я делал это ради денег. Официально я зарабатывал $300-350, на жизнь еле хватало, а тут ещё моя маленькая дочь болела так, что жена не вылазила с ней из больниц.
Я понимал, что хожу по лезвию бритвы: шифровался, использовал системы защиты, но знал, что есть места, где подчистить за собой невозможно - следы остаются у всех. К тому же меня как-то успокаивал факт, что продавцов лоадеров на моей памяти никогда не задерживали. Не тот масштаб!
Конечно, мы следили за историями с громкими задержаниями. Обсуждали: «Блин, да вот же какой промах в защите!» - вместе решали, как всего этого было можно избежать. А те, чьи ошибки мы обсуждали, нередко и сами были выходцами с нашего форума.
Каждый человек хочет, чтобы у него был свой секретик, маска Зорро в шкафу между футболок. Моим секретиком была моя «теневая жизнь» - и это мне нравилось.
Кстати, у меня до сих пор вопрос к тем, кто называл меня «самым плодовитым киберпреступником Европы»: ребята, это чего же я так наплодил-то? ПО не выпускал, в основном писал обзоры, но их выходит тысячи каждый день - блогеров много.
Работа с Waahoo: «Когда он уходил в запой, в нём просыпался гений»
Я работал с Waahoo с 2012 года в течение трёх лет. В статьях его называют «сумасшедшим алкоголиком». Да, он бухал - но это не повод оскорблять человека. Когда Waahoo уходил в запой, в нём просыпался гений. Он писал в таком состоянии удивительные вещи - никто до такого не мог бы додуматься.
Был случай, он выпустил новую версию. Я написал Waahoo, чтобы поправил одну функцию, «а в целом всё хорошо». А он ответил, что не может понять, как она работает: по всем законам программирования не должна. Понимаете, в нормальном состоянии он не мог понять собственный код.
Я уважал его как профессионала. И да, мы не встречались - на хакерских форумах это правило: меньше знаешь, лучше спишь. Во время следствия меня просили назвать, кого из местных хакеров я знаю. А я честно отвечал: «Никого».
А может, на полиграфчик сходим?
Пойдёмте!
Я не кривил душой. Иногда можно было догадаться, где живут мои форумчане: у кого-то проскакивали украинские «i» и «шо» или российские «чё». Но это ведь только мои догадки.
Сначала провокация от Джигурды, а потом: «Пришли мужики огнетушители проверять»
Не думайте, что заниматься техподдержкой Andromeda было легко: раз - и в кармане 250 баксов (я зарабатывал половину от продажи). Я приходил вечером с работы, включал компьютер - и всё остальное время решал проблемы клиентов, в основном англоязычных. В час ночи доходил, пошатываясь, до кровати, падал и засыпал. А ровно в 7:00 звонил будильник - и дочку нужно было везти в школу. И так три года.
Я измотался вконец. И когда Waahoo в очередной раз исчез из поля зрения, я закрыл проект.
В тот памятный день мне написал некто под ником Джигурда. Он хотел купить Andromeda ещё в начале 2017 года - доставал меня просьбами, а когда я отказал, стал просить дать ему хотя бы кусок исходного кода Andromeda, чтобы можно было показать своему программисту. Выносил мозг целый месяц, пока я не согласился нарезать какие-то куски.
И вот он нарисовался снова: «Мне нужен ещё кусочек кода - билдер». Я понимал, что-то тут не так, ответил уклончиво: «Поищу». «А сколько будет стоить?» Я написал от балды: «300 баксов». И тут ко мне забегает вахтёр: «Там пришли какие-то мужики. Сказали, огнетушители проверять». А у меня проверка была буквально на днях - всё в полном порядке. Выхожу. Стоят два крупных парня в спецодежде: «Вы такой-то?» - «Да, он самый». Заломили руки за спину, наручники надели и назад в кабинет повели.
Дальше в мой кабинетик залетело столько людей, сколько отродясь там не было: один из ФБР, один из Интерпола, трое человек из главного следственного управления СК, и ещё столько же из отдела «К», не меньше пяти омоновцев. И ещё кто-то ходил.
По иронии судьбы, в моём кабинете была груда техники: горы винчестеров, старые, сломанные компьютеры - поди разберись, что причастно к делу, а что нет. Отдел «К» шерстит мой рабочий компьютер, а там нет ничего: я всё хранил на другом компе.
Через четыре часа они сказали: «Надоело! Забираем всё, что здесь есть, будем разбираться». Рядом аппаратная - если они отключат сервера, люди, с которыми я проработал бок о бок 15 лет, останутся без работы, а весь город без телевидения на три-четыре недели. Я поднял руку и сказал: «Не нужно конфисковывать технику. Я сейчас всё расскажу и покажу».
Вот так я начал сознаваться. У нас был дружный коллектив, и я не хотел, чтобы из-за меня одного, дурака, были проблемы у всех. Мне ведь ещё смотреть в глаза этим людям. К тому же я уже прекрасно понимал в тот момент, что не выкручусь: если прибыли ФБР и Интерпол, а ещё отдел «К» - что-то у них на меня есть.
«ФБР решило, что во главе атаки стоял я»
Тем же вечером меня отвезли в Минск. Во временном изоляторе поленились достать супинаторы - просто забрали обувь. И я ходил босиком по бетону, отчего сразу повылазили хронические заболевания.
Сразу после завтрака меня везли на допрос к следователю. Потом сажали обратно в автозак - иногда я сидел и ждал там три часа, иногда пять, а на дворе ноябрь, холодно. После обеда со мной беседовал фэбээровец. Он спрашивал, как я выбрал свой никнейм, как увлёкся компьютерами - ни о чём, короче. Я ожидал, что это будет зубастый технарь, который начнёт прижимать меня, давить по людям и задавать вопросы по Andromeda, но всё было не так. Следователь показал себя куда более грамотным специалистом, и в отличие от него задавал вопросы по теме.
Три дня спустя меня перевели на Володарского (следственный изолятор - прим. ред) - и фэбээровца я больше не видел. Но перед этим узнал много чего интересного. Очень давно участник одного англоязычного форума с никнеймом Old Warrior написал билдер на наш продукт. И эту версию стали использовать направо и налево. С этой Andromeda, как я понял, грузился в том числе и троян, из-за которого в Штатах случилась эпидемия банковского ПО. ФБР решили, что во главе атаки стоял я.
Я сказал фэбээровцу: «Я об этом ничего не знаю. Тут даже мои клиенты не причём, потому что у них не было доступа к билдеру - я всё позакрывал». Он в ответ: «Ничего страшного, мы выясним!» Даже не в курсе, выяснили ли.
Меня, если честно, больше всего раздражало, что я якобы похитил в Штатах 10 миллионов долларов. Все подряд об этом писали. Сумма-то какая красивая! Все в моём окружении только и говорили: «Ты ж при бабле!». А я не понимал даже, откуда ноги растут.
Кстати, я задал вопрос фэбээровцу:
Почему вы приехали именно сейчас? Проект закрыт уже два года, продаж нет, - ответ последовал гениальный:
До Беларуси далеко ехать.
Тюремные будни и вероятный срок: «Да что ты, семь - хорошее число»
Я только «заехал» в камеру, и сразу вопрос:
Ты кто? - Я назвал статью, как зовут. Мне уже объяснили, как надо представляться.
Кто тебя брал?
ФБР и Интерпол, отдел «К», главное следственное управление…
Ну-ну, как же!
И тут через неделю вышел сюжет в «Зоне Х». Лицо заблюрено, но в сюжете я был в той же коричневой овчинной жилетке, которая была на мне в день «заезда». И вот сидят кроме меня 14 человек, смотрят на экран, потом переводят взгляд на меня, опять на экран, и снова на меня: «Офигеть, так ты не гнал?!». Не поверил никто, думали, очередной сказочник. А оказалось, всё правда.
Страшно было первые две недели. Я не понимал до конца, что это с мной происходило: казалось, что я просто смотрю фильм в 3D. Но постепенно начал осваиваться. В тюрьме любят «пошутить» - когда какой-то новенький спрашивает: «А что мне за это будет?» - ты в ответ говоришь то же, что говорили тебе: «Да что ты, семь - хорошее число». Сразу это дико, а потом норм. Вот такой местный юмор. Хотя столько же могло светить и мне, и даже больше - до десяти лет.
Изначально мне инкриминировали вторую часть статьи, в которой говорится об «особо тяжких последствиях». Я нашёл комментарии к своей статье, и там было перечислено, что это «нарушение правительственной и межправительственной связи, почтовой связи, последствия, повлекшие экологическую катастрофу либо смерть человека по неосторожности либо в результате бездействия».
Мы с адвокатом задали вопрос следователю, почему у меня вторая часть, а не первая, если особо тяжких последствий не было. А он в ответ: «Ну извини, у тебя 10 миллионов заражений».
Мы с этими миллионами заражений «бодались», как могли. В прессе писали, что я многому научил следователей. Да, я активно пытаться ускорить процесс. Говорил: «Ребята, чтобы вот это доказать, посмотрите здесь. Чтобы выполнить экспертизу, нужно отключить защиту Andromeda: сделайте так-то и так-то». Каждая экспертиза - это два месяца. Я понимал: если всё затянется до года, я с ума сойду.
За неделю до того, как срок моего заключения под стражу подходил к шести месяцам, дело переквалифицировали, а меня отправили домой под подписку.
Суд и приговор: «Ничего платить не нужно. Ты вышел вообще в ноль!»
Дома я сидел, как мышка, даже на улицу старался не выходить. Потом был суд. Судья поднял меня и сказал, что в деле написано много, но он бы хотел услышать эту историю от меня самого.
Слушал он очень внимательно, а когда я закончил, сказал: «Другое дело - теперь всё стало понятно!». Мне кажется, ему просто по-человечески было интересно.
Когда судья озвучил приговор: такой-то штраф, и такой-то, и ещё много слов - я был как в тумане. «Вы поняли?» - спросил он меня. Я лишь головой помотал, прикидывая, что условки у меня нет, потому что я уже отсидел полгода.
Выходим из зала. Моя адвокатша радостная:
Ты понимаешь? Понимаешь? - А я прикидываю в уме, где же ещё найти 1,5 тысячи долларов (не уверен, что это правильная цифра, в тот момент я грубо посчитал), чтобы штраф заплатить. Ещё до суда я выплатил весь «незаконно полученный доход» - все суммы, что фигурировали в деле. Залез в долги, но погасил всё до копеечки. И теперь я не радовался, что вышел, а думал только: «Где взять деньги?»
Адвокат поняла, что до меня не дошло ещё, и объясняет:
- Ничего платить не нужно! Ты же знаешь: более строгое поглощает менее строгое. Ты вышел вообще в ноль!
И вот тут меня накрыло. Иногда происходят в жизни события, когда тебе кажется, что ты заново родился. У меня было именно такое чувство - казалось, что за спиной выросли крылья, дня два я летал. Я поверить не мог, что всё обошлось, ведь начиналось-то с десяти лет зоны.
О судьбе Waahoo и форумчан: «Поначалу боялся, что из меня сделают подсадную утку»
О судьбе Waahoo мне ничего не известно. На финальном ознакомлении с материалами уголовного дела я нашёл в деле фамилию человека, который мог скрываться под этим ником.
Несмотря на то, что я её запомнил, я не пытался найти и связаться с этим человеком. Слава Богу, своё наказание отбыл. Да, в долгах, как в шелках, но зато дома, с семьей. Waahoo наверняка читал о моём задержании: об этом везде писали.
Поначалу я очень боялся, что из меня сделают подсадную утку - заставят писать знакомым что-то вроде: «У меня проблемы. Приезжай!», чтобы выйти на кого-то из хакеров. Дзен спокойствия настиг меня в тот вечер, когда вышла «Зона Х» . Я понял: ни один человек больше не ответит на моё сообщение, потому что будет думать, что это подстава.
Следователь спросил на следующий день:
Почему у тебя такое хорошее настроение?
Вы понимаете, с этого момента я не смогу никого подставить, даже если очень захочу.
Моральный ущерб Microsoft на $10 миллионов и «ни одного потерпевшего в Штатах»
В интернете писали о каких-то якобы «похищенных» $10 миллионах. Знакомясь с материалами дела в самом-самом конце, я, наконец, понял, что это за деньги.
Корпорация Microsoft выписала «справочку» о том, что действия Andromeda нанесли удар по их репутации, и они требуют с меня моральную компенсацию в $10 миллионов. Вот о чём говорилось в 5-7 предложениях на бумажке, подписанной каким-то региональным менеджером Microsoft. А мне всегда было интересно: «Откуда эта сумма взялась?»
Но вот парадокс, мой следователь рассказывал, что он обратился к фэбээровцам:
Ребята, сколько у вас заражений?
До четырех миллионов в месяц.
Предоставьте нам 20-30 пострадавших с определёнными суммами - мы включим эти материалы в дело.
Они долго крутили-мутили - в результате в моём деле появился документ о том, что в США был заражён один компьютер , с которого была совершена попытка перевода денег с банковского счёта на сумму $19 000. Но транзакция была отклонена в банке, и хищения не было. И в итоге у меня нет в Штатах ни одного потерпевшего.
А в СНГ у меня их и быть не могло, потому что я не хотел, чтобы мой продукт даже косвенно давал возможность красть деньги у наших людей - мы все и так живём впритык. Поэтому мы ввели ограничение: Andromeda не запускалась на тех компьютерах, на которых был установлен русский, белорусский, украинский и казахский языки.
А теперь сложите все кусочки пазла воедино: всё, о чём писали в прессе, совершил не я, да и ущерба не было. К корпорации Microsoft у меня много вопросов: их антивирус с первого дня определял Andromeda в памяти на раз-два, без каких-либо проблем. Так откуда ущерб? Откуда 10 миллионов заражений? Вероятнее всего, учитывались попытки заражения, блокированные антивирусом, а это уже совсем другая история.
О безопасности данных: «Корпорация Google, не долго думая, выдала мои адреса ФБР»
Думаю, что и в Штаты, и в Европу мне путь заказан. Есть опасения, что если только я переступлю границу Беларуси, меня тут же под белы рученьки поведут выяснять, где 10 миллионов, которые с меня требует Microsoft.
Но ничего, зато я приехал сюда на LVEE - расскажу, с какой лёгкостью Microsoft, Google и Facebook выдают данные на людей, а также как от этих данных избавиться.
Когда ты говоришь знакомым: «У тебя Android - за тобой следят
», - они часто отвечают: «Ну и что?» Да, «ну и что», пока это не касается тебя напрямую. Но на самом деле это касается всех.
Тенденция в современном мире такова, что настройки прячутся всё дальше и дальше, чтобы ты не ограничивал, не запрещал сбор информации - вообще не лез туда. И я хочу сегодня на конференции LVEE показать, где можно посмотреть, какое приложение что «умеет». А заодно рассказать о своём опыте жизни «без гугла».
Информации собирается огромное количество. Если раньше я считал, что «корпорация добра» Google стойко придерживается своих принципов, и по какому-то «делу Andromeda» ни за что не выдаст информацию обо мне ФБР, то оказалось, что это происходит просто по щелчку.
Когда фэбээровцы приехали на задержание, они знали обо мне всё. Они почему-то доказывали, что я держал всё на сервере, который был зарегистрирован на моё имя и номер телефона. Но я-то точно помню, какие данные указывал. Просто кто-то взял и вписал нужные данные - а затем их предоставили как доказательство.
У меня был e-mail на Gmail, к которому привязан телефон, - и корпорация Google, не долго думая, выдала все мои адреса , все данные ФБР.
Могу рассказать ещё кое-что: у меня был аккаунт в Skype - я общался с коллегами по работе, со знакомыми, но никогда с покупателями Andromeda. Уже будучи под подпиской, я как-то залез и сменил пароль. В три часа ночи на почту пришло уведомление от Microsoft о том, что в мой аккаунт был осуществлён вход с другого устройства.
Я зашёл в свой Microsoft-аккаунт - в логах ничего. Снова поменял пароль - и ситуация повторилась. Скорее всего, америкосы заходили в мой аккаунт в Skype с паролем, который они только что получили от Microsoft. Они подчистили логи входов в интерфейсе пользователя, но забыли о роботе, который реагирует на deviceID и отсылает уведомления.
Skype я больше не пользуюсь . Решил, что не буду общаться с друзьями и знакомыми с помощью этой программы, потому что за нами всегда будут наблюдать чьи-то глаза. И от Android я ушёл. Долгое время ходил с Nokia 3310 , а сейчас думаю перебраться на Ubuntu.
Меня спрашивают, чем я собираюсь заняться дальше. Мне предложили взять проект по запуску IPTV: это на несколько месяцев - просто чтобы штаны не упали. Возможно, потом займусь кибербезопасностью, открою компанию, которая будет заниматься аудитом.
Как говорят, я «в активном поиске».
Местного жителя Сергея Яреца . Его обвиняли в создании и руководстве крупнейшим ботнетом Andromeda, ущерб от действий которого Microsoft оценила в $10 млн. Однако исход дела оказался весьма благополучным для жителя Речицы — штраф в 120 базовых величин (от которого его освободили из-за полугода в СИЗО) и возврат прибыли, полученной незаконным путём, пишет «Радыё Свабода».
Поначалу обвинение настаивало на виновности Яреца по ч.2 ст. 354 УК РБ — «разработка компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения, блокирования, модификации информации с тяжкими последствиями». Наказание по ней предполагает до 10 лет лишения свобода. Но в ходе дела следователи переквалифицировали дело на первую часть статьи, в которой максимальное заключение составляет 2 года.
По словам адвоката Анна Докутько , уникальность следствия состояла в том, что обвиняемый не только рассказывал о своей деятельности, активно помогая правоохранителям, но и консультировал их.
«Следователь был высококвалифицированный, продвинутый, но даже его доказательств было недостаточно. И Сергей ему рассказывал, как найти против себя доказательства», — рассказала адвокат.
Благодаря такому «взаимовыгодному» подходу государственный обвинитель попросил суд приговорить Сергея Яреца к двум годам условно с испытательным сроком в 1 год. Итоговым приговором хакера обязали выплатить штраф в 120 базовых величин (2940 белорусских рублей), однако в счёт выплаты «зачлись» полгода, проведённые в СИЗО. Он также вернул 11 тысяч белорусских рублей, которые «заработал незаконным путём».
При этом Ярец утверждал, что Andromeda разработал неизвестный «гений и алкоголик», который, возможно, живёт в России. По его просьбе житель Речицы лишь делал обзор зловредного ПО, а позднее согласился быть представителем ботнета. А исходный код оказался у белоруса на случай, если автор программы снова уйдёт в запой.
Что такое Andromeda
После ареста Сергея Яреца называли одним из авторов и администраторов сети ботнетов Andromeda, которую использовали для размещения зловредного ПО, фишинговых атак и другой преступной деятельности в сети. Покупатели зловредного ПО платили по $500 за каждую проданную копию Andromeda и по $10 за обновление. В $150 обходилось желание использоваить «кейлогеры» для записи нажатий на клавиатуру, а за $250 предлагали модуль, который помогал воровать данные из форм, заполненных на сайтах.
Ранее шведско-американская компания по кибербезопасности Recorded Future утверждала, что Сергей Ярец «с высокой долей вероятности» является хакером, известным в русскоязычном сегменте сети с 2004 года под ником Ar3s. Незадолго до задержания представители ФБР купили у него вредоносное ПО, опасность которого подтвердилась в ходе проведённой экспертизы. После этого было принято решение о задержании белоруса.
«Andromeda — один из старейших продуктов на рынке», — утверждал представитель Европола Ян Оп Ген Оорт.
По оценке спецслужбы, в среднем с 2011 года по всему миру ежемесячно подвергались заражению более 1 млн компьютеров. TUT.by со ссылкой на ESET сообщал , что правоохранители ликвидировали сеть из 464 автономных ботнетов. В качестве серверов операторы Andromeda использовали 1214 доменов и IP-адресов.
Сергей Ярец, известный как «хакер из Речицы», говорит, что его дело, суд по которому был 9 августа, — пример того, как из мухи можно раздуть слона. Признается, что с ужасом читал о себе как об «одном из самых плодовитых киберпреступников Европы».
dev.by встретился с Сергеем Ярцом на конференции LVEE, где тот выступал с блиц-докладом по кибербезопасности.. Полностью интервью можно прочитать на сайте dev.by .
Сергей Ярец родился в 1983 году. Работал главным инженером в местной телекомпании. Был администратором на форуме damagelab, где его знали под ником Ar3s. В течение трех лет вплоть до декабря 2015 года занимался техподдержкой лоадера Andromeda, который считался «одним из крупнейших ботнетов в Сети». Был задержан 27 ноября 2017 года сотрудниками Следственного комитета Беларуси и Управления «К» МВД совместно с ФБР и Интерполом. Обвинялся сначала по части 2, а спустя полгода — по части 1 статьи 354 УК (Разработка компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения, блокирования, модификации или копирования информации»). 9 августа суд Речицкого района вынес приговор: Сергей Ярец был признан виновным, ему надлежало выплатить штраф в 120 базовых величин. Поскольку до этого мужчина около шести месяцев провел в СИЗО, штраф он платить не будет.
«Моим секретиком была моя „теневая жизнь“»
Расскажу, как познакомился с Waahoo — автором лоадера Andromeda. Он вышел победителем в хак-квесте, который я проводил на форуме. Я рассчитывал, что квест продлится максимум сутки, но участники выполняли задания больше трех дней — было и тяжело, и интересно.
К тому времени у Andromeda уже было имя, а у Waahoo — энное количество клиентов. Он обратился ко мне с предложением: мол, сам все не успеваю, давай я продолжу разработку, а ты займешься техподдержкой и будешь получать процент от продажи.
Я давно в этой среде: видел, какие бешеные деньги зарабатывали люди, какие вещи они творили, — и перестал воспринимать лоадер как что-то опасное. Да, через эту безобидную программку можно запустить более жесткое вредоносное ПО, но тут-то моя совесть чиста, успокаивал я себя.
Да, я делал это ради денег. Официально я зарабатывал 300−350 долларов, на жизнь еле хватало, а тут еще моя маленькая дочь болела так, что жена не вылазила с ней из больниц.
Я понимал, что хожу по лезвию бритвы: шифровался, использовал системы защиты, но знал, что есть места, где подчистить за собой невозможно — следы остаются у всех. К тому же меня как-то успокаивал факт, что продавцов лоадеров на моей памяти никогда не задерживали. Не тот масштаб!
Конечно, мы следили за историями с громкими задержаниями. Обсуждали: «Блин, да вот же какой промах в защите!» — вместе решали, как всего этого было можно избежать. А те, чьи ошибки мы обсуждали, нередко и сами были выходцами с нашего форума.
Каждый человек хочет, чтобы у него был свой секретик, маска Зорро в шкафу между футболок. Моим секретиком была моя «теневая жизнь» — и это мне нравилось.
«Не нужно конфисковывать технику. Я сейчас всё расскажу»
В тот памятный день мне написал некто под ником Джигурда. Он хотел купить Andromeda еще в начале 2017 года — доставал меня просьбами, а когда я отказал, стал просить дать ему хотя бы кусок исходного кода Andromeda, чтобы можно было показать своему программисту. Выносил мозг целый месяц, пока я не согласился нарезать какие-то куски.
И вот он нарисовался снова: «Мне нужен еще кусочек кода — билдер». Я понимал, что-то тут не так, ответил уклончиво: «Поищу». «А сколько будет стоить?» Я написал от балды: «300 баксов». И тут ко мне забегает вахтер: «Там пришли какие-то мужики. Сказали, огнетушители проверять». А у меня проверка была буквально на днях — всё в полном порядке. Выхожу. Стоят два крупных парня в спецодежде: «Вы такой-то?» — «Да, он самый». Заломили руки за спину, наручники надели и назад в кабинет повели.
Дальше в мой кабинетик залетело столько людей, сколько отродясь там не было: один из ФБР, один из Интерпола, трое человек из главного следственного управления СК и ещё столько же из отдела «К», не меньше пяти омоновцев. И еще кто-то ходил.
По иронии судьбы, в моем кабинете была груда техники: горы винчестеров, старые, сломанные компьютеры — поди разберись, что причастно к делу, а что нет. Отдел «К» шерстит мой рабочий компьютер, а там нет ничего: я всё хранил на другом компе.
Через четыре часа они сказали: «Надоело! Забираем всё, что здесь есть, будем разбираться». Рядом аппаратная — если они отключат сервера, люди, с которыми я проработал бок о бок 15 лет, останутся без работы, а весь город без телевидения на три-четыре недели. Я поднял руку и сказал: «Не нужно конфисковывать технику. Я сейчас все расскажу и покажу».
Вот так я начал сознаваться. У нас был дружный коллектив, и я не хотел, чтобы из-за меня одного, дурака, были проблемы у всех. Мне ведь еще смотреть в глаза этим людям. К тому же я уже прекрасно понимал в тот момент, что не выкручусь: если прибыли ФБР и Интерпол, а еще отдел «К» — что-то у них на меня есть.
«Я активно пытался ускорить процесс»
Изначально мне инкриминировали вторую часть статьи, в которой говорится об «особо тяжких последствиях». Я нашел комментарии к своей статье, и там было перечислено, что это «нарушение правительственной и межправительственной связи, почтовой связи, последствия, повлекшие экологическую катастрофу либо смерть человека по неосторожности либо в результате бездействия».
Мы с адвокатом задали вопрос следователю, почему у меня вторая часть, а не первая, если особо тяжких последствий не было. А он в ответ: «Ну извини, у тебя 10 миллионов заражений».
Мы с этими миллионами заражений «бодались», как могли. В прессе писали, что я многому научил следователей. Да, я активно пытался ускорить процесс. Говорил: «Ребята, чтобы вот это доказать, посмотрите здесь. Чтобы выполнить экспертизу, нужно отключить защиту Andromeda: сделайте так-то и так-то». Каждая экспертиза — это два месяца. Я понимал: если все затянется до года, я с ума сойду.
За неделю до того, как срок моего заключения под стражу подходил к шести месяцам, дело переквалифицировали, а меня отправили домой под подписку.
«Кажется, что ты заново родился»
Когда судья озвучил приговор: такой-то штраф и такой-то, и еще много слов — я был как в тумане. «Вы поняли?» — спросил он меня. Я лишь головой помотал, прикидывая, что условки у меня нет, потому что я уже отсидел полгода.
Выходим из зала. Моя адвокатша радостная:
— Ты понимаешь? Понимаешь? — А я прикидываю в уме, где же еще найти 1,5 тысячи долларов (не уверен, что это правильная цифра, в тот момент я грубо посчитал), чтобы штраф заплатить. Еще до суда я выплатил весь «незаконно полученный доход» — все суммы, что фигурировали в деле. Залез в долги, но погасил всё до копеечки. И теперь я не радовался, что вышел, а думал только: «Где взять деньги?»
Адвокат поняла, что до меня не дошло еще, и объясняет:
— Ничего платить не нужно! Ты же знаешь: более строгое поглощает менее строгое. Ты вышел вообще в ноль!
И вот тут меня накрыло. Иногда происходят в жизни события, когда тебе кажется, что ты заново родился. У меня было именно такое чувство — казалось, что за спиной выросли крылья, дня два я летал. Я поверить не мог, что всё обошлось, ведь начиналось-то с десяти лет зоны.
Спецоперация, которой руководили сотрудники ФБР, прошла осенью 2017 года в Речице. Это была совместная операция Следственного комитета и международного бюро расследований по выявлению хакеров, работающих на территории Беларуси.
По сигналу, поступившему от информатора, работавшего под ником Джигурда, сотрудниками СК был задержан Сергей Ярец. Ему предъявили обвинение в изготовлении и распространении вредоносного ПО, и в организации и курировании сайта, на котором хакеры делились опытом по взлому информационных систем.
Оказалось, что Ярец, которого знали в Сети, как Ar3s, был связан с бот-сетью Andromeda. Задержанию предшествовала покупка сотрудниками ФБР программного обеспечения, которое при проверке специалистов оказалось вредоносным.
За год до начала спецоперации, компания Microsoft заявила, что аналогичным ПО заражается до четырёх миллионов процессоров каждый месяц. Специалисты компании оценили потери от влияния вирусных программ в десять миллионов долларов.
Адвокат подсудимого приложил невероятные усилия, чтобы суд пошел на встречу обвиняемому. Но и сам подследственный еще в ходе следственных мероприятий не только стал сотрудничать со следствием, но и старался помочь сотрудникам СК разоблачить себя.
Адвокат рассказывает, что сам следователь был достаточно опытен в информационных технологиях, но и ему не все было понятно. Некоторые вещи вообще были недоказуемы, но подозреваемый сам буквально разжевывал следователю хитросплетения своих наворотов. Защитник Ярца говорит, что еще ни разу не встречал такого необычного следствия. Здесь уже надо говорить о «неоценимой помощи», которую его подзащитный оказывал следствию.
Все это было учтено при вынесении приговора. К тому же адвокат постоянно убеждал следствие, что такой знающий специалист, как его подзащитный, больше пригодится на воле, чем в тюремном заключении. А Ярцу, по материалам ФБР, светило не меньше 10 лет. Подсудимый раскаялся и уверенно заявил, что на Запад, в том числе в США, он не собирается.
Суд над ним состоялся 9 августа. Тут же в зале суда обвиняемый предъявил квитанцию об оплате налога на полученную в результате незаконной деятельности прибыль. Квитанция содержала запись об 11 тысячах уплаченных рублей. Дело было переквалифицировано по его первой части — «прибыль, полученная преступным путем». Таким образом, подсудимый уплатил полагающиеся налоги в госбюджет и компенсировал полагающийся ему штраф в 2940 рублей своей отсидкой в следственном изоляторе. Там подозреваемый провел в своё время 6 месяцев.
Адвокат Сергея утверждает, что он единственный, арестовывать которого приехали представители ФБР. Он также уточняет принципиальную позицию своего подзащитного, который на протяжении всей своей незаконной деятельности не вредил пользователям на постсоветском пространстве.
Обвинение говорит о полностью доказанной вине подсудимого и требует у суда для Сергея Ярца 2 года лишения свободы, условно. При этом, оно просит назначить подсудимому год испытательного срока. Обвинение не согласно с утверждением адвоката о невиновности её подопечного перед народом Беларуси.
Прокурор подчеркнул, что преступление носит международный характер и последствия его действий были достаточно ощутимы для граждан других стран. К тому же доказано, что подсудимый занимался реализацией своей продукции, которая намеренно была заражена вирусом. Поэтому о снятии вины и освобождении речи не идёт.
К тому же прокурор видит в действиях подсудимого не признаки благородства, а страх разоблачения. Поэтому вести свою разрушительную деятельность на территории Беларуси и РФ он просто не решался.
Сам Ярец в последнем слове раскаялся и сообщил, что не является создателем Andromeda. Этот сайт, по его сообщению, создал «гений-алкоголик», место проживания которого ему неизвестно. Сергей же только помогал ему в администрировании сайта.
Наличие у себя программного кода он объяснил тем, что его хозяин часто отправлялся в запой, и потом долго из него не выходил. Поэтому держать код доступа при себе было объяснимой необходимостью.
В свое время, до задержания и пребывания в СИЗО, Ярец занимался защитой информации: разработкой и установкой программного обеспечения. Официально он трудился над безопасностью трех организаций. После завершения суда он собирается вернуться в компанию «Телевид», где он занимал должность главного инженера. Он говорит, что там его уже ждут, и ждут с нетерпением.
Microsoft оценил ущерб от действий хакера, это житель Речицы Сергей Ярец, в 10 миллионов долларов. В бюджет Беларуси обвиняемый вернул 11 тысяч белорусских рублей — это прибыль, полученная преступным путем. Суд приговорил его к штрафу в 2940 рублей. Но штраф он выплачивать не будет — ибо шесть месяцев отсидел в СИЗО.
В ноябре 2017 года в Речице прошла спецоперация с участием ФБР и Следственного комитета Беларуси. Был задержан 33-летний Сергей Ярец. Долгие годы он скрывался под ником Ar3s и стоял за крупнейшим и старейшим ботнетом Andromeda .
Информатор ФБР имел ник Джигурда
Белорус продавал вредоносное программное обеспечение и администрировал форумы, где обсуждали, как совершать киберпреступления. Сотрудники ФБР США купили у него вредоносное программное обеспечение. Исходный код этой программы был проверен специалистами в области информационной безопасности, которые дали заключение о его вредоносности. Кстати, ник у информатора ФБР был Джигурда.
В октябре 2016 года корпорация Microsoft сообщила, что указанным программным обеспечением ежемесячно заражается от трех до четырех миллионов компьютеров по всему миру. Ущерб компания оценила в 10 миллионов долларов.
«В США я не поеду. Наверное, и в европейские страны тоже», — сказал обвиняемый.
Обвинение смягчили через «неоценимую помощь следствию»
9 августа суд Речицкого района завершил рассмотрение уголовного дела в отношении Сергея Ярца. На последнем заседании подсудимый представил квитанцию, что уплатил 11 тысяч рублей — доход от преступной деятельности.
Первоначально ему инкриминировалась часть 2 статьи 354 Уголовного кодекса — разработка компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения, блокирования, модификации информации с тяжелыми последствиями. Санкции — до 10 лет лишения свободы. На следствии дело было переквалифицировано на первую часть, по которой максимальный срок — два года лишения свободы.
Адвокат Анна Дакутько подчеркнула, что следствие было уникально тем, что обвиняемый не просто рассказывал о своем участии в совершении преступления и активно помогал следствию, но в определенной степени консультировал следователей — как и что нужно делать, чтобы разоблачить его.
«Это тот преступник, оказавший неоценимую помощь следствию. Следователь был высококвалифицированный, продвинутый, но даже его знаний было недостаточно. И Сергей ему рассказывал, как против себя найти доказательства», — говорит Анна Дакутько.
Она уверена: ее подзащитного нужно использовать максимально выгодно в интересах страны, особенно сейчас, под брендом IT.
Адвокат утверждает, что Сергей — единственный, кого в Беларуси «брала в плен» ФБР. Она обращает внимание — белорусам, а также россиянам, украинцам и казахстанцам Сергей принципиально не делал вреда.
Сам обвиняемый признавался в преступлении, активно сотрудничал со следствием. Смягчает вину то, что обвиняемый раскаялся, способствовал выявлению преступления, добровольно уплатил деньги, полученные преступным путем.
Обвинение в суде поддерживал прокурор Речицкого района Николай Белорусов . Он считает вину Сергея полностью доказанной.
Прокурор просил назначить наказание — два года лишения свободы условно с испытательным сроком на один год.
Адвокат в прениях отметила, что преступление не представляет опасности для Республики Беларусь, так как обществу и каждому гражданину в отдельности не причинено никакого имущественного или морального вреда.
Прокурор не был согласен с ней.
«Для Республики Беларусь не наступило последствий преступления, но оно носит международный характер. И если у нас никто не пострадал — давайте не будем человека привлекать к уголовной ответственности? Освободить его — это не совсем правильно. Потому что последствия, серьезные, наступили. Факт продажи вредоносных программ был установлен», — возразил Николай Белорусов.
По его мнению, отказ распространять Andromeda на территории Беларуси и стран СНГ — не проявление благородства, а предостережение, чтобы преступника не разоблачили.
Andromeda создал «гений-алкоголик»
В последнем слове Сергей Ярец был лаконичен: вину полностью признаю, раскаиваюсь. В кулуарах он сказал, что вопросы безопасности — его «конек».
На момент задержания житель Речицы работал на три белорусские организации, где занимался защитой корпоративных данных, установлением и налаживанием систем безопасности. Заинтересовался специализированными форумами. Администрировал один из них — делал обзоры программ, технические анализы.
Он говорит, что Andromeda создал другой программист — «гений и алкоголик». Якобы он живет неизвестно где, возможно, в России. Сергей же только делал обзор Andromeda по просьбе программиста. Потом согласился, по просьбе того программиста, быть представителем Andromeda .
«Он сам не управлялся, работы было много, клиентов тоже. Еще часто он уходил в жесткие запои, писал мне потом, просил деньги. Он очень жестко пил, иногда по две недели. Программист от Бога и сумасшедший, когда напьется», — говорит Сергей Ярец.
Он взял у программиста исходный код — на случай, если тот снова уйдет в запой.
«Исходный код годами лежал у меня на жестком диске. Потом была вот это контрольная закупка от ФБР», — говорит обвиняемый.
Суд признал Сергея Ярца виновным в преступлении и наказал штрафом в размере 120 базовых величин. Поскольку обвиняемый 6 месяцев пробыл в СИЗО, а это приравнивается к лишению свободы, то штраф ему платить не надо.
Известно, что пока мужчина будет работать в местной компании «Телевид» — там он ранее был главным инженером. «Зовут обратно на работу, мол, без тебя никак», — добавил житель Речицы. А потом, говорит, посмотрит — где ему применить свои способности.
