Хакерська група FIN7: керівник – громадянин Росії, країна базування – Україна?
Йдеться про громадян України – Федора Олексійовича Хладира (Гладира), Дмитра Валерійовича Федорова, Андрія Колпакова, Дениса Ярмака. Як випливає з обвинувального висновку, «члени плідної хакерської групи, широко відомої як FIN7 (також званої Carbanak Group і Navigator Group, серед іншого), брали участь у дуже складній шкідливій кампанії, націленій на більш ніж 100 американських компаній, переважно у ресторанах, іграх та готельний бізнес. FIN7 зламала тисячі комп’ютерних систем та вкрала мільйони номерів кредитних та дебетових карток клієнтів, а також конфіденційну та закриту інформацію, яку група використовувала або продавала для отримання прибутку. Лише у Сполучених Штатах FIN7 успішно зламала комп’ютерні мережі компаній у 49 штатах та окрузі Колумбія, викравши понад 15 мільйонів карток клієнтів із більш ніж 6 500 окремих торгових терміналів у більш ніж 3600 окремих офісах».
Хоча на лаву підсудних потрапили лише четверо їхніх груп, до неї входило понад 70 осіб. Перипетії суду були складними та заплутаними, деякі з підсудних пішли на угоду зі слідством та їх судили окремо.
У результаті Хладир отримав 10 років, з нього також вимагали 2,5 мільйона доларів компенсації. Колпакова засудили на 7 років із такою самою компенсацією – 2,5 мільйона. Ярмак відбувся п’ятьма роками.
Винесення вироку Дмитру Валерійовичу Федорову, також відомому як hotdima, було відкладено до 2022 року, але поки що про його долю нічого не відомо.
У 2018 році було затримано людину, яку назвали лідером групи хакерів – Денисом Токаренком, уродженця Росії, якого за подібні ж дії в Магаданській області було оголошено в розшук, втік до Одеси, де отримав українське громадянство під прізвищем Катана. Потім перебрався до Іспанії, де був затриманий з чистого випадку – забув сплатити рахунок за куплений автомобіль, а під час розгляду цього інциденту поліція з’ясувала, що він перебуває в розшуку за звинуваченням у крадіжці банківської інформації. У результаті Токаренко-Катана отримав у 2021 році чотири з половиною роки в’язниці.
Здавалося б, що угруповання розгромлене – вищі керівництво та ключові організатори заарештовано та засуджено, інформацію про своїх співучасників нижчого рангу вони видали поліції, подальша вже просто справа техніки. Але раптово виявилося, що ситуація набагато складніша. Група FIN7 (Carbanak Group, Navigator Group) аж ніяк не звернула своєї діяльності.
Влітку цього року Держспецзв’язку України повідомила, що в документах від імені податкової служби міститься небезпечний вірус, який відкриває доступ до комп’ютера жертви:
Відразу з’явилася інформація, що лідером хакерського угруповання FIN7 насправді є Олексій Смирнов, а не Денис Токаренко, який відбуває термін в Америці.
Про нього відомо дуже мало. Смирнов є громадянином Російської Федерації. Усі відомі про нього дані - судове рішення суду міста Клин Московської області за 2013 рік. Перебуваючи у нетверезому стані на вулиці біля автобусної зупинки, Смирнов зажадав від оточуючих дати йому сигарету. Отримавши бажане, він кинув її у бік людини, виник скандал. Потім Смирнов дістав із внутрішньої кишені куртки пневматичний пістолет. Смирнов зробив у бік потерпілого один постріл, потрапивши у скляну частину зупинки. Йому повідомили про підозру за ч. 1 ст. 213 КК РФ. У суді Смирнов дійшов згоди з потерпілими, тож справу закрили.
Більше інформації про Смирнов немає. Але є інформація, що саме він створив і очолив хакерів з FIN7, а після того, як юстиція США зуміла заарештувати верхівку групи, реорганізував її залишки, які продовжують займатися тим же бізнесом, що і раніше.
Що характерно – найактивнішими учасниками відродженої FIN7, як і раніше, є громадяни України і її сліди знову ведуть до нашої країни. Наразі триває суд над киянином Андрієм Дюговським. Його звинувачують за ч. 2 ст. 189, ч. 2 ст. 361 КК у справі №42020101010000132, яку відкрили у 2020 році. Слідство вважає, що Дюговський вимагав від компаній гроші за розблокування діяльності комп’ютерних мереж, заздалегідь заблокованих ним з використанням шкідливого програмного забезпечення (Egregor Ransomware). Він разом із спільниками за допомогою програмного забезпечення Cobalt Strike розпочали обробку комп’ютерних мереж логістичної компанії GEFCO (Париж, Франція), які заблокували 20 вересня 2020 року. Крім того, їхньою жертвою стала логістична компанія Hempt Bros, Inc. (штат Пенсільванія, США).
Судячи з останнього судового рішення, датованого 12 вересня, Дюговський «став на лижі»:
Ще одна справа №12020000000001091 ч. 2 ст. 361, ч. 2 ст. 209 КК розслідується головним слідчим управлінням Національної поліції. Там йдеться про хакерські атаки на сервери корейських компаній у період з 13 по 22 лютого 2019 року за допомогою Flawed Ammyy RAT та програми Сlор. До цього причетні власники ТОВ «Ярд Девелопмент» – Ігор Котенко, Олександр Підвальний та Борис Мазур.
За даними слідства, саме Котенк має електронні гаманці Vinanse і Huobi, на які виводяться гроші. До легалізації також причетна компанія «Трансекспресавто», де трійця чоловіків раніше були фундаторами.
Відомо ще про одну людину, яку активно використовує у своїх аферах Олексій Смирнов. Це – Олександр Фельдман, керівник проекту у галузі блокчейну А4 Finance:
Це – не всі прізвища з групи (і старої, і відродженої) FIN7. Частина з них, що підтверджується достовірними джерелами у вигляді судових рішень США, є ключовими і вже (принаймні на якийсь час) виведені з гри. Відомості про інших зібрані з відкритих джерел та інсайдерської інформації та можуть грішити неточностями.
Отже, як уже говорилося, організатором та керівником хакерського угруповання FIN7 називають Олексія Смирнова. Швидше за все, ця версія відповідає істині – після арешту та засудження в США іншої людини, яку називали лідером хакерів – Дениса Токаренка – FIN7 продовжила роботу.
Про тих, хто сидить у в’язницях США – Токаренко, Хладирі (Гладирі), Федорові, Колпакові та Ярмаку відомо більше, але поки що ці люди є амортизованими через те, що навіть якщо вони й вийдуть на волю достроково, будуть перебувати під щільним спостереженням правоохоронців США. А це не українська СБУ чи поліція, де завжди можна щось вирішити.
Залишаються ті, хто поки що на волі – сам Смирнов, Андрій Дюговський, Ігор Котенко, Олександр Підвальний, Борис Мазур та Олександр Фельдман. Про Смирнова, як говорилося, невідомо практично нічого.
Найцікавішим виглядає Олександр Фельдман, який, судячи з активної реклами А4 Finance, є не останньою людиною в імперії Смирнова.
Фельдман нібито є уродженцем Кривого Рогу, жив у Сумах та переїхав до Києва. Але насправді це фейковий персонаж. Жодного Фельдмана в природі не існує. Зважаючи на все, Смирнов вирішив створити зіц-голову з нічого, замість того, щоб купувати «Фунта» для свого проекту десь у середовищі бомжів.
Що ж до інших, то й тут відомостей вкрай мало. Андрій Дюговський, як говорилося, ховається від слідства. Судячи зі сторінок у соцмережах, востаннє в Мережі він з’являвся ще 26 травня. Після цього – тиша.
Жив він у Києві, його настановні дані відомі поліції з матеріалів кримінальної справи. Але в умовах війни він міг зникнути будь-куди. У тому числі й назавжди.
Щодо решти фігурантів кримінальних справ – Ігоря Котенка, Олександра Підвальнього та Бориса Мазура, які є співвласниками ТОВ «Ярд Девелопмент», то, крім Мазура, вони мають ще по кілька фірм.
Ігорю Котенку належать ТОВ «Тікетс компані» та ТОВ «Новокорп», він також є ФОП:
У «Тікетс компані» йому належить третина, а ТОВ «Новокорп» – повністю. Втім, остання перебуває у процесі банкрутства. А от «Тікетс компані», незважаючи на мізерний статутний капітал – 1000 гривень – активно скуповує землі сільськогосподарського призначення.
Щодо Олександра Підвального, то він цікава особистість:
ПП «Сіті-лайт люкс» (статутний капітал – 500 гривень), власником якого є Підвальний Геннадій Ілліч, а директором – наш Підвальний ліквідується. «ГО ФФРУ» – це громадська організація «Федерація фрі-райду України». ТОВ «Фарсіс про», де йому належить 50%, має займатися оптовою торгівлею деревом та сантехнікою, але, судячи з усього, жодної діяльності не веде.
Схоже, що всю цю трійцю засновників ТОВ «Ярд Девелопмент» лідер хакерського угруповання FIN7 Олексій Смирнов (або людина, що ховається за цим прізвищем) використовував лише в одній локальній схемі. Але у такому разі завданням кіберполіції (а з урахуванням війни – і СБУ) є відстежити всі інші зв’язки Смирнова в Україні.
Адже не дарма ж у діяльності FIN7 простежується такий явний український слід. Що саме пов’язує російського хакера Олексія Смирнова та нашу країну? Чому він так завзято чіпляється за українських громадян та українських юридичних осіб, незважаючи на гучні судові вироки в США? І – зустрічне питання – а чому українські правоохоронці так мляво реагують на діяльність найпотужнішого хакерського угруповання, сліди якого ведуть до Росії?
PS На слуханнях щодо винесення вироку Ярмаку головний окружний суддя США Рікардо С. Мартінес зауважив: «Є деяка іронія в тому, що нація, яку ви грабували, тепер очолює міжнародні зусилля щодо захисту вашої країни, вашого народу, вашої родини». І це аж ніяк не смішно. Особливо у світлі питань до українських правоохоронців, під носом яких діє міжнародна група хакерів.
Такого терору не було з часів заснування селища: наслідки обстрілу у Харківській області