Rusland og Ukraine lovede at samarbejde og hjælpe med at fange verdens mest succesrige hackere. Men tingene gik ikke helt efter planen.
af
8. juli 2021 
max-o-matic
De amerikanske politiet tog det langsommere, billigere tog fra Kiev til Donetsk.
Efter gentagne gange at have rejst mellem Ukraine og USA var der mere behagelige måder at tage denne sidste rejse på 400 kilometer. Men de fem FBI-agenter følte sig som luksusturister sammenlignet med de fleste rejsende om bord. De havde råd til rummelige private værelser, mens de lokale sov 10 til en hytte. Toget bevægede sig stoppende forbi det tomme land og landsbyer, der i det mindste for amerikanerne så ud som om de var blevet frossne under den kolde krig.
Vandreturen natten over var indstillet til at tage 12 timer, men det tog var virkelig begyndt to år tidligere, i 2008, på FBI-kontorer i Omaha, Nebraska. Det var her, agenterne var begyndt at prøve at forstå en cyberkriminalitetseksplosion, der var rettet mod amerikanere og trak millioner af dollars ind i ofrene. På det tidspunkt, med mindst 79 millioner dollars stjålet, var det langt den største cyberkriminalitetssag, FBI nogensinde havde set. Selv i dag er der få, der matcher skalaen.
Lidt efter lidt begyndte de amerikanske efterforskere at tegne et billede af de skyldige. Snart gik Operation Trident Breach, som de kaldte det, ind i en meget avanceret organiseret kriminel operation, der var baseret i Østeuropa, men havde global rækkevidde. Da der kom beviser fra hele verden, satte Præsidiet og dets internationale partnere langsomt navne og ansigter til banden og begyndte at planlægge det næste trin.
Da toget tog vej gennem Ukraine, kunne Jim Craig, der ledede sin allerførste sag i FBI, ikke sove. Han brugte tiden på at bevæge sig mellem sin hytte og drikkevarebilen, en barok affære med fløjlsgardiner. Craig forblev vågen hele turen og stirrede ud gennem vinduet i mørket, da landet gik forbi.
I mere end et år havde Craig rejst over hele Ukraine for at opbygge et forhold mellem de amerikanske, ukrainske og russiske regeringer. Det havde været en hidtil uset indsats for at arbejde sammen og slå den hurtigt metastaserende cyberkriminalitet underverden ned. Amerikanske agenter udvekslede efterretninger med deres ukrainske og russiske kolleger, de drak sammen, og de planlagde en omfattende international retshåndhævelsesaktion.
Dette øjeblik af enhed er værd at huske i dag.
Det ville være en vild underdrivelse at sige, at i det årti, siden Craig tog denne rejse til Ukraine, er cyberkriminalitet vokset dramatisk. Sidste måned udgjorde Joe Biden og Vladimir Putin ransomwarekrisen – som har ramt regeringer, hospitaler og endda en større amerikansk olierørledning – til et centralt punkt i deres første topmøde. Nu hvor kritisk infrastruktur rammes, opfordrer amerikanerne Moskva til at kontrollere de kriminelle inden for Ruslands grænser. Under dette møde, som svar på nyt pres fra Washington, talte Putin med Biden om at gøre mere for at spore cyberkriminelle.
”Kriminel aktivitet, der stiger til niveauet for internationale topmøder, viser dig, i hvilken grad truslen er vokset,” siger Michael Daniel, den tidligere hvide hus cybersikkerhedskoordinator for Barack Obama. ”Det viser også, at den nuværende internationale situation ikke er i ligevægt. Det er ikke bæredygtigt. ”
Dage senere sagde chefen for Ruslands FSB-efterretningsbureau, at landet ville arbejde sammen med De Forenede Stater for at finde og retsforfølge cyberkriminelle. Inde i Det Hvide Hus finder de øverste amerikanske embedsmænd ud af, hvad de skal gøre næste gang. Nogle er dybt skeptiske og mener, at Moskva hellere vil gøre anmodninger om hjælp til cyberkriminalitet til rekrutteringsmuligheder end at hjælpe en amerikansk efterforskning.
For at begynde at forstå, hvorfor de er så bekymrede, er vi nødt til at gå tilbage til efterforskningen, der placerede Jim Craig på toget i Ukraine i 2010, og til sagen, der fik ham til at møde russiske agenter og planlægge razziaer i Moskva og andre byer i flere lande.
Operationen var en unik chance for at forstyrre en af verdens mest succesrige cyberkriminalitetsbander. Det var en mulighed for at fjerne nogle af de vigtigste operatører i den enorme underjordiske hackingøkonomi, der opererer i Rusland og Ukraine. Det var faktisk så vigtigt, at agenterne begyndte at henvise til 29. september 2010 – dagen for planlagte koordinerede politirazziaer i Ukraine, Rusland, Det Forenede Kongerige og De Forenede Stater – som D-dag.
Det var også den dag, hvor tingene gik sidelæns.
Større end livet
Operation Trident Breach havde snesevis af mål over hele verden. Tre mænd var øverst på listen.
Først var Evgeniy Bogachev, en produktiv hacker kendt som “Slavik.” En russer med en modstridende smag for anonymitet og uhyrlig luksus skrev han et stykke malware kaldet Zeus. Det inficerede computere med det mål at stille åbne døren til folks bankkonti. Og det var et hit: enkel, snigende, effektiv, regelmæssigt opdateret, i stand til at kompromittere alle mulige mål og fleksibel nok til at passe ind i enhver form for cyberkriminalitet.
Undersøgelsen detaljerede, hvordan Bogachev havde brugt Zeus til at opbygge et uigennemsigtigt cyberkriminelt imperium med den slags præcision og ambition, der føltes mere karakteristisk for et multinationalt selskab.
Andet på listen over Trident Breach var en af Bogachevs vigtigste kunder, Vyacheslav Penchukov. En ukrainer kendt online som “Tank”, han kørte sit eget kriminelle hackingbesætningsmedlem ved hjælp af Zeus-malware, købte det fra Bogachev for tusinder af dollars pr. Kopi og rak millioner af fortjeneste. Han havde samlet et besætningsmedlem, der brugte en særlig velsmagende smag af programmet, der integrerede med instant messaging-softwaren Jabber. Det gav hackerne øjeblikkelige opdateringer om deres indsats: når en infektion opstod, fik klienter en besked og flyttede derefter pengene som ønsket – så let som det.
Relateret historie
Gendannelse fra SolarWinds-hacket kan tage 18 måneder
Lederen af agenturet, der leder USA's indsats for at rette et russisk hackeangreb, siger, at genopbygning vil tage meget lang tid.
Det tredje mål var Maksim Yakubets, en Russisk kendt som “Aqua”, der orkestrerede en massiv hvidvaskningsoperation. Ved hjælp af tusinder af medskyldige og frontfirmaer flyttede han stjålne penge fra hackede bankkonti tilbage til Østeuropa.
Tanks besætning løb tør for Donetsk, en by med næsten en million mennesker i det sydøstlige Ukraine. De ville bruge Zeus til at dræne bankkonti og sende pengene til muldyr i mållandene, inklusive USA – som derefter ville overføre provenuet til Ukraine.
Fremkomsten af denne form for professionel operation, der kombinerer de smarte smarte teknologiske startups og den uhyrlige organisatoriske kriminalitet, kan synes at have været uundgåelig. I dag skaber ransomware-virksomheden overskrifter dagligt, og dens hacker-iværksættere er afhængige af en hel underindustri af kriminelle tjenester i hvidhandske. Men i midten af 2000'erne var organisationer som denne yderst usædvanlige: Zeus-besætningen var en pioner.
Tank var så tæt involveret i at lede ordningens indre funktion, at FBI i en periode troede, at han var ansvarlig. Det blev dog til sidst klart, at Tank var Slaviks VIP-kunde – og tilsyneladende den eneste, der personligt talte med Bogachev selv.
Tank “ville altid være den første person til at modtage alarmer,” siger Jason Passwaters, en tidligere FBI-entreprenør, der arbejdede i årevis i både USA og Europa med sagen. ”Der ville blive poppet op, og det ville være særligt saftigt. Han ville være den første til at gå ind på bankkontoen og sige 'Vi har en god', og så ville han give den videre til andre for at udføre det mere manuelle arbejde. “
Tank var ingen gåde for feds. Han havde en familie, der voksede mere og mere vant til rigdom og et meget offentligt trængsel som “DJ Slava Rich”, der spillede svedige midnat raves gennemblødt i neonlys. Agenterne håbede, at tilliden til at leve så stor ville være hans undergang.
Vodka-diplomati
For at fange Tank måtte FBI udvide rækkevidden. Den kriminelle operation, de var målrettet mod, spændte over hele kloden: der var ofre og penge muldyr i USA og Europa, og angrebene blev ledet af kingpins og hackere i hele Ukraine og Rusland. FBI havde brug for hjælp fra deres kolleger i disse to lande.
Det var ikke let at sikre disse partnerskaber. Da Craig ankom i Kiev, fik han at vide, at russiske FSB-agenter ikke havde sat deres fod inde i Ukraine siden den orange revolution i 2004, da antikorruptionsprotester vendte landets falske præsidentvalgresultater. Men nu havde han brug for alle i samme rum.
Deres indledende personlige møde fandt sted på boutique Opera Hotel i Kiev. Samtalerne var foreløbige, gensidig tillid var lav, og forventningerne var endnu lavere. Til Craigs overraskelse var de fire russiske agenter, der kom, dog venlige og opmuntrende. De sagde, at de ønskede at udveksle oplysninger om hackere af interesse og tilbød endda at bringe FBI-agenter ind i Rusland for at se nærmere på mistænkte.
Amerikanerne forklarede, at den drivende motor i deres undersøgelse var en Jabber chat-server, de havde fundet og begyndte at se i 2009. Det gav dem et kig ind i Zeus-besætningens kommunikation; detaljer om operationer og forretningsaftaler dukkede op ved siden af personlig snak om legetøj og dyre ferier, som besætningen havde købt med udbyttet af deres forbrydelser.
Passwaters så en besked, som han aldrig ville glemme. En anden hacker havde skrevet til Tank: “I er kneppede. FBI holder øje med. Jeg har set logfilerne.”
Passwaters – nu medstifter og direktør i det amerikanske cybersikkerhedsfirma Intel 471, hvor Craig også arbejder – siger, at det praktisk talt var et fuldtidsjob at gennemgå chatlogfilerne og dele informationen med FSB og SBU, Ukraines chefsikkerhed og efterretningstjeneste. service.
I april 2010, da han sigtede gennem dataene, så Passwaters en besked, som han aldrig ville glemme. En anden hacker havde skrevet til Tank: ”I er kneppede. FBI holder øje med. Jeg har set logfiler. ”
Passwaters vidste, at de pågældende logfiler var dem, han læste på det nøjagtige tidspunkt – og at deres eksistens kun var kendt af en håndfuld agenter. På en eller anden måde var de lækket. Agenterne mistænkte ukrainsk korruption.
”Det, der var åbenlyst, var at nogen inden for enheden, der var fortrolige med nøgledetaljerne i sagen, havde videregivet oplysninger til netop de cyberkriminelle, der blev undersøgt,” siger en tidligere SBU-officer, der talte til MIT Technology Review på betingelse af anonymitet. “Selv den terminologi, der blev brugt i deres samtale, var usædvanlig for cyberkriminelle og syntes at være kommet direkte fra en sagsmappe.”
Tanks oprindelige reaktion var frygt, især over muligheden for at blive sendt til USA. Men Passwaters husker, at den person, der tippede Tank af, derefter forsøgte at berolige ham i en anden besked: ”Dette er det liv, vi valgte. Lev ved sværdet, dør ved sværdet. “
Tanks næste reaktion var underlig. I stedet for straks at brænde serveren og flytte operationer andre steder, som FBI forventede, ændrede han og hans besætning deres kælenavne, men fortsatte med at brug det kompromitterede system i endnu en måned. Til sidst blev serveren mørk. Men da syntes undersøgelsen at have fået ustoppelig momentum.
“Dette er det liv, vi valgte. Lev ved sværdet, dør ved sværdet.”
I juni 2010 mødtes omkring 20 officerer fra flere lande i skoven uden for Kiev i en uhyrligt overdådig bolig ejet af SBU-direktør Valeriy Khoroshkovsky. Huset blev ofte brugt af agenturet til at underholde de vigtigste besøgende. Alle samledes i et overdådigt konferencelokale for at planlægge oplysningerne om D-Day. De diskuterede de mistænkte detaljeret, gik over de roller, hvert agentur ville spille, og handlede information om operationens mål.
Efter en dag med planlægning begyndte drikkevarerne at flyde. Gruppen satte sig ned til en multikursemiddag serveret med vin og vodka. Uanset hvor meget de drak, forblev deres briller fulde. Hver person var forpligtet til at give en skål under maratonbegivenheden. Efter festlighederne tog SBU-officerer deres kolleger på en rundvisning i byen. Amerikanerne husker ikke meget om, hvad de så.
Den næste morgen, på trods af vodkaen, der ringede i deres ører, var den overordnede plan klar nok. Den 29. september arresterede politi fra fem lande – USA, Storbritannien, Ukraine, Rusland og Holland – samtidigt snesevis af mistænkte i en operation, der lovede at overskue alle efterforskninger inden for cyberkriminalitet, før den var.