Год назад на Гиктаймс активно обсуждалась тема поимки Российского кардера Романа Селезнева. Перед вами сокращенный перевод с конференции BLACK HAT.
В сегодняшнем переводе я раскрою подробности того, как федералы поймали русского мега-кардера Романа Селезнёва.
Добрый день, меня зовут Норман Барбоса, я обвинитель в делах расследования компьютерных преступлений Прокуратуры США в Сиэтле, здесь присутствует мой второй помощник Гарольд Чен, бывший судебный обвинитель из Главного управления юстиции Вашингтона, округ Колумбия, сейчас работающий на Google. Он получил большие деньги после того, как мы выиграли это дело, и сейчас счастлив присутствовать здесь вместе со мной.
Я хочу поблагодарить нашего друга, присутствующего здесь, за то, что он предоставил мне ноутбук. Вчера, когда я пришёл сюда, мой компьютер принялся «пищать» и сразу же выдал критическую ошибку. Я подумал, что это могли быть «эти» парни или ФСБ. Я не уверен, но знаю, что многие из вас играют в игру «засеки федерала». Когда мы занимались делом Селезнёва, то среди прочего тоже играли в игру «найди агента ФСБ», так что если вы его увидите, дайте нам знать.
Наша презентация не служит цели подобрать пароль к вашей хакерской империи, потому что это всё равно не работает. Просто это реальная возможность для нас, для управления юстиции, подробно поговорить о том, как мы расследуем дела о компьютерных преступлениях так, чтобы наши обвинения звучали убедительно для присяжных. Мы должны доказать 12 присяжным, что вот этот человек сидел за компьютером, и представить детальные доказательства, из-за чего он попал под суд.
Была ситуация, когда мы были вынуждены представить все свои доказательства в таких подробностях, которые намного превышают общедоступный объём информации. И потом, есть такие дела, которые решаются, если обвиняемый признаёт свою вину или просто не приходит в суд.
Нам очень повезло, что нам досталось это дело — Гарольду, мне и ещё одному прокурору из моего офиса, Сету Уилкинсону. Это было долгое расследование, и мы участвовали в нём с самого начала, этим делом занимался другой помощник окружного прокурора, которая вышла на пенсию ещё до того, как Романа арестовали. Её звали Кэтрин Уорман, она была моим наставником в управлении и прекрасно разбиралась в компьютерных преступлениях. Она работала над этим делом вместе с агентом Дэвидом Данном, который тоже ушёл с правительственной службы перед арестом Селезнёва.
Я уверен, многие из вас слышали о нём здесь, на этой неделе, это прекрасный следователь, который вернулся на службу специально для того, чтобы участвовать в заседаниях суда.
Итак, сегодня я собираюсь рассказать вам о ходе расследования, а затем Гарольд расскажет о доказательствах, полученных нами в результате ареста Романа, о трудностях процесса, вызванных результатами проведения судебно-медицинской экспертизы обвиняемого и о том, как нам пришлось с ними бороться.
Вот небольшая характеристика Романа Селезнёва:
он являлся одним из крупнейших в мире похитителей данных кредитных карт, был обвинён тремя Федеральными судами в разных штатах, русский, имеющий недвижимость во Владивостоке и на Бали в Индонезии.
Он занимался кражей данных банковских карт примерно с 2005 года до того, как мы смогли арестовать его и представить перед судом в 2014 году. С 2011 года по 2014 мы предприняли несколько попыток его арестовать, которые не увенчались успехом.
Положение его отца в правительстве России имело большое значение, которое суд не мог игнорировать (Валерий Селёзнёв является депутатом Госдумы от партии ЛДПР). Между нашим и российским правительством возникло напряжение после того, как Роман был задержан на Мальдивах в 2014, результатом чего стало занесение меня и других участников процесса в «чёрный список» русского правительства и запрет на въезд в Россию. К счастью, это напряжение спало, и я снова могу поехать в Москву, где я изучал русский язык. Но на тот момент никто из нас не мог туда поехать.
Благодаря своей преступной схеме Селёзнёв украл много денег, поэтому надеялся с помощью них разрушить судебный процесс. Он имел очень денежную «команду поддержки», которая обеспечивала его защиту.
Селезнёв взламывал карточные сервисы, пользуясь тремя разными «никами»:
nCux, Track2 и 2Pac, связанными с тремя периодами его хакерской деятельности.
Первым он пользовался на форумах кардеров, где продавал украденные данные карт с 2002 года, затем он стал пользоваться «ником» Track2 и перед арестом использовал «ник» 2Pac.
Идентификация nCux состоялась в начале 2009 года, когда он «засветился» на множестве форумов кардеров, на этом слайде вы видите его сообщение о продаже данных карт:
«Дорогие покупатели, не упустите свой шанс – все карты AMEX по $1 за штуку, VISA, MC, DISCOVER — $5 штука». «Великая распродажа» связана с тем, что в мае 2009 Роман заявил, что уходит на покой и прекращает заниматься хакерством. Его активность на этом поприще отслеживалась ещё с 2002 года, когда он начал продавать карты со всеми данными, включая имя, пароль, дату рождения и № социального страхования. В 2005 году он учёл, что украденные данные кредитных карт пользовались большой популярностью и покупательной способностью, и развил бурную активность. Благодаря этому он попал в поле зрения Вашингтонского подразделения Секретной Службы Кибернетической Разведки. Они принялись отслеживать его активность в интернете и поняли, что это «большой игрок» и стали пытаться разузнать, кто именно скрывался за «ником» nCux. На самом деле транслитерация этого «ника» на русском языке означала «псих» — таким прозвищем наградили Романа друзья за его «взрывной» характер.
В период слежки за ним с 2005 по 2009 год Секретная Служба CIS раздобыла довольно много информации, основанной на «раскопках» открытого интернет-троллинга – хорошая «старомодная» следовательская работа.
В мае 2009 года они совместно с ФБР встретились в Москве с ФСБ и достигли договорённостей относительно обмена информацией, после чего прошёл буквально месяц, и Селезнёв исчез из Интернета, уничтожив все известные ФБР аккаунты. Он разместил этот пост в мае, а в июне исчез.
Это отбросило Секретную Службу назад и заставило её переосмыслить способ ведения международного расследования и обмена информацией в этом конкретном деле.
Естественно, Селезнёв не собирался уходить на покой – он просто сменил «ник» и на протяжении 2009-2012 пользовался «никами» Track2 и Bulba. На этом слайде показан новый пост Селезнёва, который принялся заново создавать свою империю на сайте carder.su, авторитетнейшем ресурсе кардеров, где Роман уже имел репутацию солидного продавца. Об этом свидетельствует пометка в верхней левой части сообщения под «ником». Это подсказало Секретной Службе, что это не просто какой-то новый хакер, доставший немного украденный карт из своей «заначки», он обладает весом и известностью среди пользователей данного ресурса. Администрация сайта даже предоставила ему монополию в этом деле, выбросив более мелких конкурентов Селезнёва, предлагавших аналогичный товар.
CIS пришла к выводу, что это действительно крупный игрок, и они тут же пометили его на своём «радаре» и в мае 2010 начали расследование. Примерно в то же время местный сотрудник нашего управления Дэвид Данн принял участие в операции SWAT в штате Айдахо, в городе Кер-Д`Ален, которая проводилась в ресторане известной сети быстрого питания Shlotsky's Deli по поводу утечки данных кредитных карт посетителей. Он осматривал там компьютерное оборудование и конфисковал RAM, где неожиданно обнаружил, что компьютер Shlotsky's Deli был подсоединён к сети через российский IP-адрес. Дэвид взял на заметку этот факт, а спустя несколько недель или месяц в сети всплыло множество украденных кредитных карт, которые удалось отследить до места утечки данных, и этой точкой оказался компьютер ресторана «Шлоцки». После этого CIS пригласила Данна участвовать в эпизоде расследования дела, связанного с найденным в этом ресторане оборудованием.
Детектив Данн осмотрел компьютер подозреваемого, который конфисковал в ресторане, и обнаружил, что парень просматривал эти два сайта:
Track2.name и Bulba.cc и общался в чате с человеком по имени Track2.
Тот сказал ему, что его сайт Track2.name прикрыли, но сотрудник ресторана может продать номера карт на другом сайте, Bulba.cc. Детектив стал исследовать оба эти сайта, чтобы узнать, один ли хакер скрывается под этими двумя «никами». Он исследовал регистрацию домена и выяснил ящик электронной почты, с которого происходила регистрация, исследовал другие ящики, расположенные в США, также связанные с этими аккаунтами. Восточный район Вирджинии поддержал расследование этого дела совместно с CIS, и в октябре 2010 года они начали собирать ордера на предоставление информации. Детектив Данн ожидал предоставление информации несколько недель, потому что это не такое дело, которое можно провернуть за одну ночь. Кроме того, некоторые ордера возвращались, так как бывали случаи, когда регистраторы почтовых сервисов отказывали в предоставлении информации.
И пока он ждал, 21 октября 2010 года состоялся второй взлом – на этот раз в одном из старейших ресторанов Broadway Grill на Капитолийском холме в Вашингтоне.
