Ryssland och Ukraina lovade att samarbeta och hjälpa till att fånga världens mest framgångsrika hackare. Men saker och ting gick inte helt som planerat.
av
8 juli 2021 
max-o-matic
De amerikanska poliserna tog det långsammare, billigare tåget från Kiev till Donetsk.
Efter att ha upprepat resit mellan Ukraina och USA, fanns det bekvämare sätt att göra denna sista resa på 400 mil. Men de fem FBI-agenterna kändes som lyxturister jämfört med de flesta resenärer ombord. De hade råd med rymliga privata rum medan lokalbefolkningen sov 10 till en stuga. Tåget rörde sig stannande, förbi tomt land och byar som åtminstone för amerikanerna såg ut som om de hade varit frysta under det kalla kriget.
Vandringen över natten var inställd på att ta 12 timmar, men det tog hade verkligen börjat två år tidigare, 2008, vid FBI-kontoren i Omaha, Nebraska. Det var där agenterna började försöka förstå en cyberbrottsexplosion som riktade sig mot amerikaner och drog in miljoner dollar från offren. Vid den tidpunkten, med minst 79 miljoner dollar stulna, var det överlägset det största it-brottsfall som FBI någonsin sett. Även idag är det få som matchar dess skala.
Bit för bit började de amerikanska utredarna att skissa en bild av de skyldiga. Snart gick Operation Trident Breach, som de kallade det, in i en mycket avancerad organiserad brottsoperation som var baserad i Östeuropa men hade global räckvidd. När bevis kom in från hela världen satte presidiet och dess internationella partner långsamt namn och ansikten till gänget och började planera nästa steg.
När tåget tog sig över Ukraina kunde Jim Craig, som ledde sitt allra första fall med FBI, inte sova. Han passerade tiden för att flytta mellan sin stuga och dryckesbilen, en barockaffär med sammetridåer. Craig stod vaken hela resan och stirrade ut genom fönstret in i mörkret när landet gick förbi.
I mer än ett år hade Craig rest över hela Ukraina för att bygga ett förhållande mellan de amerikanska, ukrainska och ryska regeringarna. Det hade varit en oöverträffad ansträngning att arbeta tillsammans och slå ner den snabbt metastaserande underbranschen för it-brottslighet. Amerikanska agenter utbytte underrättelse med sina ukrainska och ryska motsvarigheter, de drack tillsammans och de planerade en omfattande internationell brottsbekämpningsåtgärd.
Det ögonblicket av enhet är värt att komma ihåg idag.
Det skulle vara en vild underdrift att säga att cyberbrott har ökat dramatiskt under decenniet sedan Craig tog den resan till Ukraina. Förra månaden gjorde Joe Biden och Vladimir Putin ransomwarekrisen – som har drabbat regeringar, sjukhus och till och med en stor amerikansk oljeledning – till ett mittpunkt i deras första toppmöte. Nu när kritisk infrastruktur träffas uppmanar amerikanerna Moskva att kontrollera brottslingarna inom Rysslands gränser. Under det mötet, som svar på nytt tryck från Washington, pratade Putin med Biden om att göra mer för att spåra cyberbrottslingar.
”Kriminell aktivitet som stiger till nivån för internationella toppmöten visar dig i vilken grad hotet har vuxit”, säger Michael Daniel, den tidigare Vita husets cybersäkerhetskoordinator för Barack Obama. ”Det visar också att den nuvarande internationella situationen inte är i jämvikt. Det är inte hållbart. ”
Dagar senare sa chefen för Rysslands FSB-underrättelsetjänst att landet skulle samarbeta med USA för att hitta och lagföra cyberbrottslingar. Inuti Vita huset räknar de bästa amerikanska tjänstemännen ut vad de ska göra nästa. En del är djupt skeptiska och tror att Moskva hellre vill förvandla förfrågningar om hjälp till it-brottslighet till rekryteringsmöjligheter än att hjälpa en amerikansk utredning.
För att börja förstå varför de är så bekymrade, måste vi gå tillbaka till utredningen som satte Jim Craig på det tåget i Ukraina 2010 och till det fall som fick honom att träffa ryska agenter och planera räder i Moskva och andra städer i flera länder.
Operationen var en unik chans att störa ett av världens mest framgångsrika cyberbrott. Det var en möjlighet att lägga bort några av de viktigaste operatörerna i den enorma underjordiska hackingsekonomin som verkade i Ryssland och Ukraina. Det var faktiskt så viktigt att agenterna började hänvisa till den 29 september 2010 – dagen för planerade samordnade polisrazzier i Ukraina, Ryssland, Storbritannien och USA – som D-Day.
Det var också dagen då saker gick i sidled.
Större än livet
Operation Trident Breach hade dussintals mål över hela världen. Tre män var högst upp på listan.
Först var Evgeniy Bogachev, en produktiv hackare känd som “Slavik.” En rysk med en motstridig smak för anonymitet och upprörande lyx skrev han en bit av skadlig kod som heter Zeus. Det smittade datorer med målet att tyst öppna dörren till människors bankkonton. Och det var en hit: enkelt, smygande, effektivt, uppdateras regelbundet, kan kompromissa med alla slags mål och tillräckligt flexibla för att passa in i alla typer av cyberbrott.
Undersökningen detaljerade hur Bogachev hade använt Zeus för att bygga ett ogenomskinligt cyberkriminellt imperium med den typ av precision och ambition som kändes mer karakteristisk för ett multinationellt företag.
Andra på Trident Breachs lista var en av Bogachevs viktigaste kunder, Vyacheslav Penchukov. En ukrainare känd online som “Tank”, han drev sitt eget kriminella hackande besättning med Zeus-skadlig programvara, köpte den från Bogachev för tusentals dollar per exemplar och tog in miljoner i vinst. Han hade samlat ett besättning som använde en särskilt god smak av programmet som integrerades med snabbmeddelandeprogrammet Jabber. Det gav hackarna omedelbara uppdateringar om deras ansträngningar: när en infektion inträffade fick klienter ett meddelande och flyttade sedan pengarna som önskat – så enkelt som det.
Relaterad historia
Återhämtning från SolarWinds-hacket kan ta 18 månader
Chefen för byrån som leder USA: s ansträngningar för att åtgärda ett rysshackattack säger att återuppbyggnad kommer att ta mycket lång tid.
Det tredje målet var Maksim Yakubets, en Ryska känd som “Aqua”, som orkestrerade en massiv tvättoperation. Med tusentals medbrottslingar och frontföretag flyttade han pengar som stulits från hackade bankkonton tillbaka till Östeuropa.
Tanks besättning sprang ut från Donetsk, en stad med nästan en miljon människor i sydöstra Ukraina. De skulle använda Zeus för att tömma bankkonton och skicka pengarna till mulor i målländerna, inklusive USA – som sedan skulle överföra intäkterna till Ukraina.
Ökningen av denna typ av professionell verksamhet, som kombinerar de smidiga smarta tekniska nystartade företagarnas okänslighet, kan tyckas ha varit oundvikligt. Idag gör ransomware-verksamheten rubriker dagligen, och dess hackerföretagare förlitar sig på en hel delindustri av kriminella tjänster med vita handskar. Men i mitten av 2000-talet var sådana organisationer extremt ovanliga: Zeus-besättningen var en pionjär. var ansvarig. Det blev dock till slut tydligt att Tank var Slaviks VIP-kund – och uppenbarligen den enda som personligen pratade med Bogachev själv.
Tank ”skulle alltid vara den första personen som fick varningar”, säger Jason Passwaters, en före detta FBI-entreprenör som arbetat i flera år i både USA och Europa i ärendet. ”Någon skulle poppa, och det skulle vara särskilt saftigt. Han skulle vara den första att gå in på bankkontot, säga “Vi har en bra”, och sedan skulle han ge den vidare till andra för att göra det mer manuella arbetet. “
Tank var ingen gåta för feds. Han hade en familj som växte mer och mer van vid rikedom och ett mycket offentligt hustle som “DJ Slava Rich”, spelar svettiga midnatt raves dränkt i neonljus. Agenterna hoppades att förtroendet att leva så stort skulle bli hans undergång.
Vodkadiplomati
För att fånga Tank, behövde FBI utvidga sin räckvidd. Den kriminella operationen som de riktade sig mot sträckte sig över hela världen: det fanns offer och pengar mulor i USA och Europa, och attackerna riktades av kingpins och hackare över Ukraina och Ryssland. FBI behövde hjälp från sina motsvarigheter i dessa två länder.
Att säkra dessa partnerskap var inte lätt. När Craig anlände till Kiev fick han veta att ryska FSB-agenter inte hade satt sin fot i Ukraina sedan den orange revolutionen 2004, då antikorruptionsprotesterna vände landets bedrägliga presidentvalresultat. Men nu behövde han alla i samma rum.
Deras inledande personliga möte ägde rum på boutiquehotellet Opera Hotel i Kiev. Samtalen var preliminära, ömsesidigt förtroende lågt och förväntningarna var ännu lägre. Till Craigs förvåning var de fyra ryska agenterna som kom men vänliga och uppmuntrande. De sa att de ville utbyta information om intressanta hackare och erbjöd sig till och med att föra FBI-agenter till Ryssland för att närmare titta på misstänkta.
Amerikanerna förklarade att den drivande motorn i deras undersökning var en Jabber-chatserver som de hittat och började titta på 2009. Det gav dem en titt på Zeus-besättningens kommunikation; detaljer om verksamhet och affärsaffärer dök upp bredvid personliga prat om leksaker och dyra semestrar som besättningen hade köpt med intäkterna från sina brott.
Passwaters såg ett meddelande som han aldrig skulle glömma. En annan hacker hade skrivit till Tank: “Ni är knullade. FBI tittar. Jag har sett stockarna.”
Passwaters – nu medgrundare och chef för det amerikanska cybersäkerhetsföretaget Intel 471, där Craig också arbetar – säger att det praktiskt taget var ett heltidsjobb att granska chattloggarna och dela informationen med FSB och SBU, Ukrainas främsta säkerhet och underrättelsetjänst. service.
I april 2010, medan han siktade igenom uppgifterna, såg Passwaters ett meddelande som han aldrig skulle glömma. En annan hacker hade skrivit till Tank: ”Ni är knullade. FBI tittar. Jag har sett stockarna. ”
Passwaters visste att stockarna i fråga var de som han läste just nu – och att deras existens endast var känd för en handfull agenter. På något sätt hade de läckt ut. Agenterna misstänkte ukrainsk korruption.
“Det som var uppenbart var att någon inom enheten som kände till viktiga detaljer i ärendet hade vidarebefordrat information till just de cyberbrottslingar som utreddes”, säger en före detta SBU-officer, som talade till MIT Technology Review på villkoret av anonymitet. ”Till och med terminologin som användes i deras konversation var ovanlig för cyberbrottslingar och verkade ha kommit direkt från en ärende.”
Tanks första reaktion var rädsla, särskilt över möjligheten att skickas till USA. Men Passwaters kommer ihåg att personen som tippade Tank sedan försökte lugna honom i ett annat meddelande: ”Det här är livet vi valde. Lev av svärdet, dör av svärdet. “
Tanks nästa reaktion var konstig. Istället för att omedelbart bränna servern och flytta operationer någon annanstans, som FBI förväntade sig, ändrade han och hans besättning sina smeknamn men fortsatte att använd det komprometterade systemet i ytterligare en månad. Så småningom blev servern mörk. Men då verkade utredningen ha fått ostoppbar fart.
“Det här är livet vi valde. Lev av svärdet, dör av svärdet.”
I juni 2010 träffades ett tjugotal officerare från flera länder i skogen utanför Kiev på en upprörande överdådig bostad som ägdes av SBU-direktören Valeriy Khoroshkovsky. Huset användes ofta av byrån för att underhålla de viktigaste besökarna. Alla samlades i ett överdådigt konferensrum för att planera D-Day-uppgifterna. De diskuterade de misstänkta i detalj, gick över de roller som varje byrå skulle spela och handlade information om operationens mål.
Efter en dag med planering började dryckerna flyta. Gruppen satte sig ner på en multikurs middag serverad med vin och vodka. Oavsett hur mycket de drack förblev glasen fulla. Varje person var skyldig att ge en skål under maratonevenemanget. Efter festligheterna tog SBU-tjänstemännen sina motsvarigheter på en rundtur i staden. Amerikanerna kommer inte ihåg mycket om vad de såg.
Nästa morgon, trots att vodka ringde i öronen, var den övergripande planen tillräckligt tydlig. Den 29 september skulle polisen från fem länder – USA, Storbritannien, Ukraina, Ryssland och Nederländerna – samtidigt gripa dussintals misstänkta i en operation som lovade att överträffa alla utredningar av it-brottslighet inför den.