Ранее на этой неделе Министерство юстиции США объявило об аресте 27-летного россиянина Егора Игоревича Крючкова, который приехал в США по туристической визе. Согласно судебным документам, его обвинили в попытке подкупа сотрудника неназванной компании, расположенной в Неваде: якобы Крючков предлагал 1 000 000 долларов за установку малвари в сеть этой компании.
Хотя в обвинительном заключении не раскрывается название этой компании-жертвы, сразу несколько новостных агентств сообщали, что атака, скорее всего, была нацелена на американскую компанию Tesla, которой принадлежит завод, как раз расположенный в городе Спаркс, в штате Невада. Представители Tesla никак не комментировали эти слухи, но минувшей ночью (по московскому времени) глава компании, Илон Маск, официально подтвердил в Twitter, что целью злоумышленников была именно Tesla. Маск пишет, что это была серьезная атака.
Much appreciated. This was a serious attack.
— Elon Musk (@elonmusk) August 27, 2020
Правоохранители заявляют, что Крючков является членом крупной преступной группировки, планировавшей использовать малварь для получения доступа к сети компании-жертвы, кражи конфиденциальных документов, а затем вымогательства. При этом Крючков обещал сотруднику Tesla, что другие члены его «команды» устроят DDoS-атаку, чтобы отвлечь внимание службы безопасности и скрыть факт хищения данных.
Впрочем, все планы хакеров рухнули, так как инсайдер, которого они пытались завербовать, сообщил о происходящем в ФБР. В итоге агенты ФБР держали Крючкова под наблюдением почти все время его пребывания в США, а затем арестовали, собрав все необходимые для судебного преследования доказательства. Журналисты издания ZDNet составили хронологию произошедшего, опасаясь на информацию из судебных бумаг. Ниже приводим ее перевод.
16 июля: Крючков связывается с сотрудником Tesla (обозначен в документах как CHS1) через WhatsApp и рассказывает о своих планах посетить США. Дело в том, что этот человек знал Крючкова раньше – они познакомились еще в 2016 году.
28 июля: Крючков прилетает из России в Нью-Йорк, едет в Сан-Франциско, а затем в Рино, штат Невада.
1 августа: Крючков связывается с CHS1 по телефону.
2 и 3 августа: Крючков, CHS1 и его друзья едут на озеро Тахо, причем Крючков оплачивает все расходы, а также старается не попадать на фото..
3 августа: В последний день поездки, в баре, поздним вечером Крючков сообщает CHS1, что работает в некой группе, которая занимается «специальными проектами». Якобы эта группа платит сотрудникам разных компаний за установку малвари в сетях их работодателей. Затем Крючков подробно описывает всю схему и говорит, что может предоставить CHS1 малварь на USB-флешке или отправить ее электронной почте.
Сначала Крючков заявил сотруднику, что за установку малвари ему заплатят 500 000 долларов, а «коллеги» Крючкова тем временем устроят DDoS-атаку, чтобы замаскировать факт кражи данных.
В итоге CHS1 сообщает о Крючкове в ФБР, и все их последующие встречи уже проходят под наблюдением.
7 августа: У Крючкова очередная встреча с CHS1. Во время этой встречи он вновь пытается убедить CHS1 принять участие в преступной схеме, но на этот раз уверяет, что его «команда» руководит подобными «спецпроектами» уже много лет, а инсайдеры, которые сотрудничали с ними ранее, ни разу не попадались и по-прежнему работают в тех же компаниях. Также Крючков предлагает создать впечатление, будто заражение вообще исходит от другого сотрудника (на тот случай, если CHS1 желает преподать кому-то урок). Во время этой встречи CHS1 просит выплатить ему 1 000 000 долларов, а также требует аванс в размере 50 000 долларов.
17 августа: На другой встрече Крючков раскрывает подробную информацию о группировке, на которую работает. В частности, он рассказывает, что они осуществляют платежи с использованием условного депонирования на Exploit (название известного хакерского форума). Также Крючков рассказывает, что уже завербовал таким же образом как минимум двух других инсайдеров, а одна из взломанных в прошлом компаний уже выплатила хакерам выкуп в размере 4 000 000 долларов.
Кроме того, Крючков и CHS1 связываются с другими членами преступной группы через WhatsApp и обсуждают детали оплаты и условного депонирования. Крючков уверяет, что один из участников группы — это сотрудник государственного российского банка, и группировка уже заплатила около 250 000 долларов за малварь, которая была написана специально для компании, в которой работает CHS1. Крючков оставил CHS1 телефон, чтобы связываться в будущем.
18 августа: В ходе следующей встрече Крючков сообщает CHS1, что его «команда» отказалась выплачивать аванс, поскольку раньше хакеры так никогда не делали. Однако якобы они готовы выплатить CHS1 миллион долларов по итогам операции. Крючков заявил, что его собственная доля была снижена до 250 000 долларов из-за требований CHS1. Также он сообщил, что ему нужно будет предоставить своим «коллегам» более подробную информацию о сети работодателя CHS1, чтобы те смогли настроить малварь.
19 августа: Крючков встретился с CHS1 еще раз и сообщил, что группировка все же готова сделать предоплату в размере 1 биткоина.
21 августа: Крючков еще раз встретился с CHS1 и неожиданно заявил, что данный «спецпроект» был отложен из-за другого, уже запущенного в работу «спецпроекта», который должен принесли группировке огромные деньги и пока требует концентрации всех усилий. Крючков сообщил, что уезжает из США и оставил инсайдеру инструкции, в которых подробно рассказал, как в будущем с ним свяжутся члены преступной группы.
После этой встречи агент ФБР вышел на связь с Крючковым по телефону, и тот попытался поспешно покинуть страну, но в конечном итоге был арестован в Лос-Анджелесе на следующий день.
В настоящее время Егор Крючков находится под стражей и ему уже предъявлены соответствующие обвинения. Если суд признает его виновным, ему грозит до пяти лет лишения свободы.