$10 000 000 за голову. В России арестовали одного из самых разыскиваемых хакеров в мире

ИБ-эксперт Смилянец: задержание Wazawaka — это подарок силовиков России для США

The Federal Bureau of Investigation (FBI)
В России задержали киберпреступника Михаила Матвеева, которого связывают с известными хакерскими группировками LockBit, Babuk, Hive и DarkSide. Все они виновны в серии разрушительных атак на США и ряд других стран. Матвеев находится в международном розыске и возглавляет список самых разыскиваемых хакеров в мире — за его поимку ФБР объявило награду в $10 млн. «Газета.Ru» рассказывает, кто такой Wazawaka, за что его задержали в России и почему именно сейчас.

Хакер номер один

Михаил Матвеев, он же Wazawaka, Babuk, BorisElcin, unc1756 и Orange, львиную долю славы приобрел в мае 2023 года после того, как ФБР объявило его в международный розыск.

Агентство предложило за информацию, которая способствует его поимке, огромную награду — $10 млн.

Если опираться на это мерило, Wazawaka можно смело назвать самым разыскиваемым киберпреступником в мире. В ФБР так сильно невзлюбили Wazawaka, потому что он якобы является одним из немногих крупных операторов вирусов-шифровальщиков.

Вирус-шифровальщик — это тип вредоносного ПО, которое шифрует данные на компьютерах и вызывает отказ их работы. После воздействия таких вирусов хакеры вымогают у атакованных компаний большие суммы денег в обмен на дешифраторы для восстановления поврежденных файлов. Каждый такой инцидент чреват огромными потерями для атакованной компании — только хакерам они платят сотни тысяч, миллионы и даже десятки миллионов долларов. Еще большие убытки приносят сбои в бизнес-процессах.

ФБР, известный в сфере кибербезопасности американский журналист-расследователь Брайан Кребс и другие источники связывают Wazawaka c такими группировками хакеров-вымогателей, как LockBit, DarkSide, Babuk и Hive. На их счету сотни крупных атак. Среди жертв — крупнейший в мире банк Industrial and Commercial Bank of China, связанная со SpaceX компания Maximum Industries и трубопроводная фирма Colonial Pipeline, из-за атаки на которую в США было объявлено чрезвычайное положение.

Wazawaka — далеко не самый скрытный хакер. Он охотно давал иностранным СМИ интервью до объявления в международный розыск и еще охотнее шел на контакт с прессой после. В многочисленных беседах с журналистами Матвеев опровергал свое участие в управлении группировками Hive и LockBit, но, впрочем, и не отрицал свою связь с ними. Вместе с тем, он открыто заявлял, что стоял у истоков проекта Babuk и хакерского форума RAMP.

«Я ничего не знаю о руководстве Hive и LockBit. Это странно, потому что они [журналисты] выставили меня совладельцем этих партнерских программ, которым я не являюсь», — заявил он в интервью The Record.

В 22-страничном обвинительном заключении министерства юстиции США утверждается, что за все время Wazawaka и его партнеры получили от жертв вирусов-шифровальщиков около $200 млн. Матвеев никогда не говорил, сколько «заработал» на самом деле, но приведенную правительством США цифру называл сильно преувеличенной.

Не особо опасен

В России Матвеева задержали вечером 29 ноября. Ему вменяют ч. 1 ст. 273 УК РФ «Создание, распространение или использование компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации». В народе эту статью называют «хакерской». Ночью 1 декабря Wazawaka уже был освобожден.

«Вазавака поделился, что он заплатил два штрафа и у него конфисковали значительную часть криптовалюты. В настоящее время он находится под залогом, невредим и ожидает следующих шагов в судебном процессе»,пишет Telegram-канал club1337 (специализируется на анализе угроз и исследованиях систем безопасности).

Репутация Wazawaka как хакера неоднозначна. Сам он в интервью в красках описывал, как взламывал компании и обкатывал новые вирусы-шифровальщики. Однако, по словам одного из хакеров, согласившегося на условиях анонимности поговорить с «Газетой.Ru», вменяемая Матвееву статья является «притянутой». Он рассказал, что Wazawaka никогда не разрабатывал и вряд ли когда-нибудь использовал вредоносное ПО.

«Большая часть его громких заявлений была сделана ради хайпа. Wazawaka точно никогда не разрабатывал вредоносы и вряд ли использовал вирусы-шифровальщики лично. Могу также утверждать, что он не был создателем форума RAMP и не управлял партнерской программой Babuk. То, что ему в некоторых исследованиях приписывают конкретное участие в ряде атак, можно объяснить тем, что и западным спецслужбам и кибербезопасникам выгодно привязать нераскрытые дела к раскрытой личности», — сказал источник.

В чем слова источника «Газеты.Ru» и Wazawaka сходятся, так это в том, что Матвеев, возможно, был так называемым брокером первоначальных доступов. Так называют киберпреступников, которые находят и продают другим хакерам точки входа в компьютерные сети компаний для последующего проведения атак. Хотя Wazawaka заявлял в интервью о самостоятельном взломе компаний, источник «Газеты.Ru» сомневается, что хакер действительно работал сам.

В доску свой парень

В истории с Wazawaka не столь важно, за что его задержали, сколько почему это произошло. Mash пишет, что поводом для задержания Матвеева стало использование нового вируса-шифровальщика против российских компаний в начале 2024 года. Однако источник «Газеты.Ru» из киберпреступного комьюнити категорически не согласен с этим утверждением.

«Wazawaka — это русский хакер в классическом понимании, то есть он прекрасно понимал, что атаковать российские компании нельзя, и знал, что будет, если нарушить это правило. Тем более, когда его уже объявили в международный розыск. Все, кто работал с ним, это знают», — сказал он.

Во-первых, и до объявления в розыск, и после Матвеев всегда демонстративно представлялся большим патриотом России. Впрочем, во многом его патриотизм был продиктован пониманием того, что даже в самом худшем случае его арестуют в России, но не экстрадируют в США — это претит конституции РФ, да и в целом такая практика никогда в отношении хакеров не применялась.

«Матушка Россия вам поможет. Любите свою страну, и вам всегда все будет сходить с рук», — цитирует Матвеева в своем расследовании Брайан Кребс.

Во-вторых, Wazawaka продолжил пуще прежнего доказывать свою верность Родине после объявления награды за его голову в США. Например, в разговоре с изданием TechCrunch хакер в очередной раз выразил уверенность в том, что Россия его не выдаст, а также заявил о сожжении своего загранпаспорта.

Предупредительный выстрел

По мнению руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова, Wazawaka могли задержать ввиду появления новых данных о его деятельности в отчетах иностранных компаний.

«Возможно, причиной ареста Wazawaka стал новый подход российской полиции, который заключается в использовании данных и информации из расследований, проведенных западными партнерами», — сказал он.

В свою очередь эксперт «Лаборатории Касперского» по отражению угроз Владимир Дащенко сомневается, что публикация какой-либо информации иностранными специалистами по кибербезопасности могла привести к задержанию Матвеева. Ссылаясь на отчет швейцарской компании Prodaft, он утверждает, что российские правоохранители знали о киберпреступной деятельности Wazawaka и даже контактировали с ним.

«Я сомневаюсь, что публикация какого-либо отчета могла привести к аресту Wazawaka», — сказал он.

Тот же хакер, который согласился поговорить с «Газетой.Ru», видит две причины задержания Матвеева. Первая из них — это предупреждение.

«Wazawaka — очень эпатажный персонаж. Он много говорил, из-за чего на его спине появилось много мишеней. По опыту могу сказать, что российские силовики не любят хакеров-болтунов, которые привлекают много внимания на Западе. Задержание — это предупреждение. Уверен, Wazawaka попросили вести себя поскромнее», — сказал хакер.

Такой же точки зрения придерживается другой анонимный источник «Газеты.Ru», представляющий сферу информационной безопасности.

«Существует вероятность, что задержание и предъявление исключительно хакерской статьи без добавления 159-й («Мошенничество») и 272-й («Неправомерный доступ к компьютерной информации»), которые обычно при реальных арестах киберпреступников предъявляются скопом, является либо сигналом, либо попыткой скрыть Wazawaka от зарубежных спецслужб. Под сигналом я имею в виду знак для других хакеров и для всего мира в целом, что Россия начала жесткую работу против киберпреступников. Под сокрытием — защиту от принудительного вывоза или запрет на самостоятельный выезд из страны», — объяснил источник.

Мир, дружба, решетка

Вторая функция задержания Wazawaka — дипломатический сигнал. Хакер, пообщавшийся с «Газетой.Ru», считает, что после победы Дональда Трампа на выборах, спецслужбы РФ и США начнут сотрудничать более плодотворно по части киберпреступлений. Wazawaka — одна из разменных монет в этом сотрудничестве.

«После прихода Трампа к власти все ждут смягчения отношений между США и РФ. Хакеры-вымогатели — очень большая проблема для США. В США знают, что источником этой проблемы является РФ, в РФ тоже это знают. По сути, задержание Wazawaka — это дипломатический подарок от РФ для США. Мол, вы хотели, чтобы этот чувак сбавил обороты? Мы вас услышали — чувак сбавит обороты. <...> Да-да… Политическая ситуация в мире непростая, но даже в периоды войн спецслужбы враждующих стран продолжали коммуницировать. Текущее положение не является исключением», — сказал источник.

Похожее мнение в разговоре с «Газетой.Ru» выразил и независимый эксперт по информационной безопасности Дмитрий Смилянец, который брал множество интервью у русскоязычных хакеров, в том числе у Wazawaka.

«Всем известно, что администрация Байдена уходит и в Белый дом возвращается Трамп. У Трампа собрана уникальная команда, которая готова работать с Россией. Я думаю, и Россия готова к этому сотрудничеству. Арест Матвеева подтверждает намерения России в создании адекватных и партнерских отношений с США по части взаимодействия спецслужб в рамках предотвращения компьютерных преступлений», — сказал он.

По словам Смилянца, Wazawaka — не первый «подарок» российских силовиков для США. В 2022 году в России ликвидировали группировку хакеров-вымогателей REvil, которая известна дерзкими атаками на подрядчика Apple, крупнейшего американского производителя мяса JBS и не только. Случилось это вскоре после переговоров Владимира Путина и Джо Байдена, в которых президент США жаловался на разрушительные кибератаки, проводимые с территории России.

«К сожалению, администрация Байдена не оценила проделанную работу. Более того, очевидно, она не была заинтересована в партнерских отношениях с Россией. Позже заместитель секретаря Совбеза Олег Храмов прокомментировал равнодушие США так: «Будем терпеливо ждать, когда США подавят свои гегемонистские амбиции, проявят здравомыслие и вернутся за стол продуктивных двусторонних переговоров», — подчеркнул Смилянец.

Сотрудничество России и США по части киберпреступлений — это кошмар Wazawaka наяву. Об этом он сам говорил в одном из интервью:

«Что меня больше всего беспокоит? Если эти две структуры [ФСБ и ФБР] начнут сотрудничать друг с другом, то мне [конец], получу как минимум три пожизненных срока».

По словам хакера, который общался с «Газетой.Ru», дальнейшая судьба Wazawaka во многом будет зависеть от его действий.

«Тех, кого хотят закрыть, закрывают сразу — им предъявляют статью 273 по всем трем частям или по двум минимум, а не только по первой, как Wazawaka. Wazawaka останется на свободе, но только если уйдет из киберпреступности и перестанет куражиться в соцсетях и СМИ», — сказал он.

Смилянец также считает, что при самом благоприятном для Матвеева исходе его просто «уберут из интернета на годы».