Хакеры из группировки Trickbot создали вирус-вымогатель, с помощью которого похитили десятки миллионов долларов у американских компаний. Участницей киберпреступного синдиката Минюст США называет Анну Витте – 55-летнюю уроженку Ростова-на-Дону. Последние 14 лет она жила в Суринаме с мужем, гражданином Нидерландов. Настоящее Время разбиралось, как бывшая учительница математики оказалась в центре очередного скандала, связанного с русскими хакерами.
От правоохранительных органов Анна Витте не скрывалась: так, в 2018 году она опубликовала в фейсбуке фото своего дома в Парамарибо, столице Суринама. "Вот так ранним утром смотрят конференцию в джунглях Амазонки", – фото Анна сопроводила хештегами онлайн-конференции, посвященной веб-разработке. В последние годы она регулярно участвовала в тренингах по IT и предлагала услуги по веб-дизайну через свой сайт. Одним из ее пилотных проектов был сайт службы такси.
4 февраля 2021 года домой к супругам Витте нагрянула суринамская полиция. "Четыре автомобиля, десяток вооруженных людей", – рассказывает Настоящему Времени муж обвиняемой, 69-летний предприниматель из Амстердама Адриан Витте (сайт его ремонтной компании – еще один проект Анны). Дом обыскали и изъяли все электронные средства связи. Анну доставили в участок, поставили в паспорт штамп, запрещающий возвращаться в страну, и, не уведомляя мужа, посадили на самолет в США. Там ее обвинили по 19 пунктам, в том числе в компьютерном мошенничестве, краже личных данных и сговоре с целью отмывания денег [pdf].
В пресс-релизе Минюста США отмечено, что по этим обвинениям Алле Витте грозит срок до 85 лет.
"Не очень продвинутый траян": как работал вирус Trickbot
Подельникам по группировке Trickbot Витте была известна как Max, утверждают власти США, а написанный ею код мог отвечать за контроль, развертывание и финансовые операции вируса-вымогателя.
Вот как это работает. Жертва получает имейл с зараженным документом Excel или Word. При открытии документ предлагает запустить встроенный алгоритм (макрос), после чего без ведома пользователя на компьютер устанавливается троян, "спящий" до тех пор, пока пользователь не решит зайти в свой онлайн-банк. Когда это происходит, троян направляет пользователя на поддельную версию сайта и просит ввести учетные данные. Так ничего не подозревающий пользователь передает злоумышленникам ключи от своего банковского счета.
Trickbot также загружает на компьютер программу-вымогателя Ryuk: она шифрует данные и требует выкуп в биткоинах за расшифровку. По данным ФБР, 2018–2019 годах операторы Ryuk получили более 61 миллиона долларов выкупа.
В США жертвами Trickbot становились банки, юридические компании, коммунальные службы, университеты и местные органы власти. Замминистра юстиции США Лиза Монако заявила, что вирус Trickbot "заразил миллионы компьютеров по всему миру, и через нее [мошенники] получали банковские данные и посылали требования выкупа".
Российский хакер Дмитрий Артимович в разговоре с Настоящим Временем, тем не менее, называет Trickbot "не очень продвинутым трояном, а обычным". "Вирус "чистится" (скрывает свои следы – НВ) только от встроенного антивируса Microsoft. Впрочем, те, кто подхватывают вирус, ничего другого не используют".
"Криминальная вакансия"
Алла Витте родилась в Ростове-на-Дону, получила высшее образование в Латвийском университете в сфере прикладной математики, работала менеджером по продажам, учителем математики и информатики, указано в ее резюме. Она гражданка Латвии. На ее странице во "ВКонтакте" – открытки с котами и видео про здоровый сон.
Сотрудничество Витте с хакерами могло начаться в 2018 году, говорится в обвинительном заключении. За первую неделю она могла написать код для отслеживания каждого из сотен пользователей, чьи компьютеры поразила вредоносная программа. Она также могла подготовить видеоурок по использованию программы. А в 2019 году – якобы написала код для веб-панели, в которой хранится "огромная база данных" жертв Trickbot.
Сайт-портфолио Витте перестал работать в декабре 2019 года, а в январе 2020-го пользователи сервиса URLhaus (отслеживает опасные ссылки в интернете) обнаружили на нем два вредоносных файла Trickbot. Владелец сайта в это время не менялся, демонстрируют данные протокола Whois.
Примерно 2,5 года назад Витте нашла новую работу в российской компании, рассказывает Настоящему Времени ее муж Адриан. Название компании он не помнит, но подозревает, что она может быть связана с хакерами.
"Сама она не хакер, но работала на эту компанию, – продолжает Адриан. – Она попросила эту работу и получила ее. Я ничего не знаю о ее работе, она программист".
Участники Trickbot набирали сотрудников на обычных сайтах с вакансиями, говорится в обвинительном заключении. При этом они использовали имейлы, адреса которых содержали имя "Руслан Иштеряков". Такое имя носят несколько россиян, но не исключено, что оно было выбрано случайно.
Настоящее Время обнаружило один из указанных в обвинении имейлов в описании к заданию на программистском сайте: автор поста за 7 тысяч долларов предлагал найти уязвимости в браузерах под Windows "с перспективой постоянного долгосрочного сотрудничества".
Дмитрий Артимович считает, что эта "вакансия" "сильно похожа на криминальную".
"Есть люди, которые ищут уязвимости или берут из открытых источников, – объясняет Артимович. – Уязвимость в браузере – это набор действий (какой-то код на странице), который приводит к тому, что ваш браузер скачивает и запускает внешний файл. Обычно это все разные люди: кто-то ищет уязвимости, кто-то пишет связки, кто-то пишет банковских троянов, кто-то это все покупает и использует".
Шесть сообщников и "десятки лет тюрьмы"
Через несколько дней после ареста Аллы Витте федеральный судья-магистрат Южного округа штата Майами Алиша Отазо-Рейес приказала федеральному маршалу "доставить обвиняемую вместе с копией этого приказа в округ, где ей предъявлено обвинение, и передать ее маршалу этого округа". Так Витте попала в Огайо, где содержится под стражей и числится в федеральным бюро тюрем США под номером 21183-104. Вместе с ней по делу проходят шесть сообщников. Известно, что пятеро из них – россияне, один – из Украины. Дело Аллы Витте поручено вести 73-летнему судье Соломону Оливеру, которого назначил еще президент Билл Клинтон.
Аркадий Бух – американский адвокат по делам о киберпреступлениях – считает, что уже опубликованных обвинений достаточно, чтобы прокуратура могла запросить наказание в виде "десятков лет тюрьмы".
"Прокуратура говорит, что это предварительное обвинение, немекая, что будет еще дополнительное, superseding indictment, – говорит Бух Настоящему Времени. – Обычно в таких случаях появляются новые свидетели, новые факты, которые могут повысить потенциальный срок. Прокуратура говорит, что миллионы компьютеров были инфицированы, что для меня как для адвоката по подобным делам говорит о том, что грозят достаточно высокие сроки".
Загадкой остаются имена других обвиняемых по этому делу – их имена прокуратура засекретила. По словам Буха, они могут "всплыть" на суде присяжных. "Часть обвиняемых может предстать на суде вместе с Аллой, – говорит юрист. – А часть – никогда не будут пойманы и останутся в России, потому что Россия не выдает своих граждан".