Хакерская группа FIN7: руководитель – гражданин России, страна базирования – Украина?

Летом 2018 года Министерство юстиции США объявило обвинительное заключение членам печально известной международной киберпреступной группы Fin7, находящимся под стражей за участие в атаках на более чем 100 компаний Соединенных Штатов.

Речь идет о гражданах Украины – Федоре Алексеевиче Хладыре (Гладыре), Дмитрии Валерьевиче Федорове, Андрее Колпакове, Денисе Ярмаке. Как следует из обвинительного заключения, «члены плодовитой хакерской группы, широко известной как FIN7 (также называемой Carbanak Group и Navigator Group, среди прочего), участвовали в очень сложной вредоносной кампании, нацеленной на более чем 100 американских компаний, преимущественно в ресторанах, играх и гостиничном бизнесе. FIN7 взломала тысячи компьютерных систем и украла миллионы номеров кредитных и дебетовых карт клиентов, а также конфиденциальную и закрытую информацию, которую группа использовала или продавала для получения прибыли. Только в Соединенных Штатах FIN7 успешно взломала компьютерные сети компаний в 49 штатах и округе Колумбия, похитив более 15 миллионов карточек клиентов из более чем 6 500 отдельных торговых терминалов в более чем 3600 отдельных офисах».

Хотя на скамью подсудимых попали только четверо их группы, в нее входило более 70 человек. Перипетии суда были сложными и запутанными, некоторые из подсудимых пошли на сделку со следствием и их судили отдельно.

В итоге Хладырь получил 10 лет, с него также потребовали 2,5 миллиона долларов компенсации. Колпакова осудили на 7 лет с такой же компенсацией – 2,5 миллиона. Ярмак отделался пятью годами.

Вынесение приговора Дмитрию Валерьевичу Федорову, также известному как hotdima, было отложено до 2022 года, но пока о его судьбе ничего не известно.

В 2018 году был задержан человек, которого назвали лидером группы хакеров – Денис Токаренко, уроженец России, который за подобные же действия в Магаданской области был объявлен в розыск, сбежал в Одессу, где получил украинское гражданство под фамилией Катана. Потом перебрался в Испанию, где был задержан по чистой случайности – забыл оплатить счет за купленный автомобиль, а во время разбирательства этого инцидента полиция выяснила, что он находится в розыске по обвинению в краже банковской информации. В итоге Токаренко-Катана получил в 2021 году четыре с половиной года тюрьмы.

Казалось бы, что группировка разгромлена – высшие руководство и ключевые организаторы арестованы и осуждены, информацию о своих соучастниках более низкого ранга они выдали полиции, дальнейшее уже просто дело техники. Но внезапно оказалось, что ситуация гораздо сложнее. Группа FIN7 (Carbanak Group, Navigator Group) отнюдь не свернула своей деятельности.

Летом этого года Госспецсвязи Украины сообщила, что в документах от имени налоговой службы содержится опасный вирус, который открывает доступ к компьютеру жертвы:

Тут же появилась информация, что лидером хакерской группировки FIN7 на самом деле является Алексей Смирнов, а не отбывающий срок в Америке Денис Токаренко.

О нем известно крайне мало. Смирнов является гражданином Российской Федерации. Все известные о нем данные – судебное решение суда города Клин Московской области за 2013 год. Находясь в нетрезвом состоянии на улице возле автобусной остановки, Смирнов потребовал от окружающих дать ему сигарету. Получив желаемое, он бросил ее в сторону человека, возник скандал. Потом Смирнов достал из внутреннего кармана куртки пневматический пистолет. Смирнов произвел в сторону потерпевшего один выстрел, попав в стеклянную часть остановки. Ему сообщили о подозрении по ч. 1 ст. 213 УК РФ. В суде Смирнов пришел к соглашению с потерпевшими, поэтому дело закрыли.

Больше информации о Смирнове нет. Но зато есть информация, что именно он создал и возглавил хакеров из FIN7, а после того, как юстиция США сумела арестовать верхушку группы, реорганизовал ее остатки, которые продолжают заниматься тем же бизнесом, что и ранее.

Что характерно – наиболее активными участниками возрожденной FIN7, как и прежде, являются граждане Украины и следы ее опять ведут в нашу страну. Сейчас идет суд над киевлянином Андреем Дюговским. Он обвиняется по ч. 2 ст. 189, ч. 2 ст. 361 УК по делу №42020101010000132, которое открыли в 2020 году. Следствие считает, что Дюговский требовал от компаний деньги за разблокирование деятельности компьютерных сетей, предварительно заблокированных им с использованием вредоносного программного обеспечения (Egregor Ransomware). Он вместе с сообщниками с помощью программного обеспечения Cobalt Strike приступили к обработке компьютерных сетей логистической компании GEFCO (Париж, Франция), которые заблокировали 20 сентября 2020 года. Кроме того, их жертвой стала логистическая компания Hempt Bros, Inc. (штат Пенсильвания, США).

Судя по последнему судебному решению, датированному 12 сентября, Дюговский «стал на лыжи»:

Еще одно дело №12020000000001091 ч. 2 ст. 361, ч. 2 ст. 209 УК расследуется главным следственным управлением Национальной полиции. Там речь идет о хакерских атаках на сервера корейских компаний в период с 13 по 22 февраля 2019 с помощью Flawed Ammyy RAT и программы Сlор. К этому причастны владельцы ООО «Ярд Девелопмент» – Игорь Котенко, Александр Пидвальный и Борис Мазур.

По данным следствия, именно у Котенко есть электронные кошельки Vinanse и Huobi, на которые выводятся деньги. К легализации также причастна компания «Трансэкспрессавто», где троица мужчин ранее были основателями.

Известно еще об одном человеке, которого активно использует в своих аферах Алексей Смирнов. Это – Александр Фельдман, руководитель проекта в области блокчейна А4 Finance:

Это – не все фамилии из группы (и старой, и возрожденной) FIN7. Часть из них, что подтверждается достоверными источниками в виде судебных решений США, являются ключевыми и уже (по крайней мере – на какое-то время) выведены из игры. Сведения об остальных собраны из открытых источников и инсайдерской информации и могут грешить неточностями.

Итак, как уже говорилось, организатором и руководителем хакерской группировки FIN7 называют Алексея Смирнова. Скорее всего, эта версия соответствует истине – после ареста и осуждения в США другого человека, которого называли лидером хакеров – Дениса Токаренко - FIN7 продолжила работу.

О тех, кто сидит в тюрьмах США – Токаренко, Хладыре (Гладыре), Федорове, Колпакове и Ярмаке известно больше, но пока что эти люди являются амортизированными в силу того, что, даже если они и выйдут на свободу досрочно, будут находиться под плотным наблюдением правоохранителей США. А это не украинская СБУ или полиция, где всегда можно что-то порешать.

Остаются те, кто пока на свободе – сам Смирнов, Андрей Дюговский, Игорь Котенко, Александр Пидвальный, Борис Мазур и Александр Фельдман. О Смирнове, как уже говорилось, неизвестно практически ничего.

Самым интересным выглядит Александр Фельдман, который судя по активной рекламе А4 Finance, является не последним человеком в империи Смирнова.

Фельдман якобы является уроженцем Кривого Рога, жил в Сумах и переехал в Киев. Но на самом деле – это фейковый персонаж. Никакого Фельдмана в природе не существует. Судя по всему, Смирнов решил создать зиц-председателя из ничего, вместо того, чтобы покупать «Фунта» для своего проекта где-то в среде бомжей.

Что касается остальных, то и тут сведений крайне мало. Андрей Дюговский, как уже говорилось, скрывается от следствия. Судя по страницам в соцсетях, последний раз в Сети он появлялся еще 26 мая. После этого – тишина.

Жил он в Киеве, его установочные данные известны полиции из материалов уголовного дела. Но в условиях войны он мог исчезнуть куда угодно. В том числе и навсегда.

Что касается остальных фигурантов уголовных дел - Игоря Котенко, Александра Пидвальнього и Бориса Мазура, являющихся совладельцами ООО «Ярд Девелопмент», то, кроме Мазура, они имеют еще по несколько фирм.

Игорю Котенку принадлежат ООО «Тикетс компани» и ООО «Новокорп», он также является ФОПом:

В «Тикетс компани» ему принадлежит треть, а ООО «Новокорп» - полностью. Впрочем, последняя находится в процессе банкротства. А вот «Тикетс компани», несмотря на мизерный уставной капитал – 1000 гривен – активно скупает земли сельхозначения.

Что касается Александра Пидвального, то он интересная личность:

ЧП «Сити-лайт люкс» (уставной капитал – 500 гривен), владельцем которого является Пидвальный Геннадий Ильич, а директором – наш Пидвальный, ликвидируется. «ГО ФФРУ» - это общественная организация «Федерация фри-райда Украины». ООО «Фарсис про», где ему принадлежит 50%, должно заниматься оптовой торговлей деревом и сантехникой, но, судя про всему, никакой деятельности не ведет.

Похоже, что всю эту троицу основателей ООО «Ярд Девелопмент» лидер хакерской группировки FIN7 Алексей Смирнов (или же человек, скрывающийся за этой фамилией) использовал только в одной, локальной схеме. Но в таком случае задачей киберполиции (а с учетом войны – и СБУ) является отследить все другие связи Смирнова в Украине.

Ведь не зря же в деятельности FIN7 прослеживается столь явный украинский след. Что именно связывает русского хакера Алексея Смирнова и нашу страну? Почему он столь упорно цепляется за украинских граждан и украинские юридические лица, несмотря на громкие судебные приговоры в США? И – встречный вопрос – а почему украинские правоохранители столь вяло реагируют на деятельность мощнейшей хакерской группировки, следы которой ведут в Россию?

P.S. На слушаниях по вынесению приговора Ярмаку главный окружной судья США Рикардо С. Мартинес заметил: «Есть некоторая ирония в том, что нация, которую вы грабили, теперь возглавляет международные усилия по защите вашей страны, вашего народа, вашей семьи». И это отнюдь не смешно. Особенно в свете вопросов к украинским правоохранителям, под носом у которых действует международная группа хакеров.