Украинский хакер Вячеслав «Танк» Пенчуков раскрыл тайны своей кибербанды в интервью Би-би-си из тюрьмы в США

Это перевод статьи корреспондента Би-би-си. Оригинал на английском языке можно прочитать здесь.

После многих лет, проведенных за чтением о «Танке», и многих месяцев подготовки визита в тюрьму в Колорадо я слышу, как щелкает открывающаяся дверь, и вижу, как он заходит в комнату.

Я встаю и с профессиональным видом готовлюсь поздороваться с бывшим королем киберпреступности, в то время как он, высунув улыбающуюся голову из-за колонны, подмигивает мне как какой-то нахальный мультяшный персонаж.

«Танк», настоящее имя которого Вячеслав Пенчуков, поднялся на вершину киберпреступного мира не столько из-за своего технического мастерства, сколько благодаря преступному обаянию.

«Я дружелюбный парень, легко завожу друзей», — расплываясь в улыбке, говорит 39-летний украинец.

Говорят, что наличие влиятельных друзей — одна из причин, которые помогли Пенчукову так долго скрываться от полиции. Почти 10 лет он числился в списке самых разыскиваемых ФБР преступников и за это время успел возглавить две разные группировки в два разных периода истории киберпреступности.

Возможность поговорить с киберпреступником такого уровня — редкость. На его счету очень много жертв. Пенчуков беседовал с нами в течение шести часов на протяжении двух дней, его интервью станет частью подкаста Cyber Hack: Evil Corp.

В своем первом эксклюзивном интервью Пенчуков раскрывает секреты внутренней кухни успешных кибербанд. Объясняет, как мыслят некоторые из их участников, и приводит ранее неизвестные подробности о хакерах, которые все еще на свободе, включая предполагаемого лидера российской кибергруппировки Evil Corp.

В 2022 году в ходе масштабной спецоперации полиции удалось задержать Пенчукова в Швейцарии. На его поиски ушло 15 лет.

«На крыше были снайперы. Полиция повалила меня на землю, надела на руки наручники и на глазах у моих детей натянула мешок на голову. Они испугались», — вспоминает он с раздражением.

Пенчуков до сих пор недоволен тем, как прошел его арест, считая, что полицейские перегнули палку. Однако тысячи людей, пострадавших от его атак по всему миру, вряд ли могли бы с ним согласиться. Пенчуков и банды, в которых он либо участвовал, либо возглавлял, украли у этих людей десятки миллионов фунтов.

В конце 2000-х он вместе со скандально известной группировкой Jabber Zeus использовал на тот момент революционные технологии киберпреступности, чтобы напрямую похищать средства с банковских счетов малого бизнеса, местных властей и даже благотворительных организаций. Жертвы видели, как их сбережения исчезают, а финансовые отчеты превращаются в хаос. В одной только Великобритании пострадали более 600 человек. Всего за три месяца они потеряли свыше четырех миллионов фунтов (5,2 миллиона долларов).

В период с 2018-го по 2022-й год Пенчуков решил поднять ставки, присоединившись к процветающей экосистеме программ-вымогателей, в которую входили кибербанды, нацеленные на атаки международных корпораций и даже больниц.

Администрация тюрьмы Энглвуд, где находится Пенчуков, не разрешила нам проносить аппаратуру для записи внутрь, поэтому во время интервью мы с продюсером, под пристальным присмотром стоящего рядом охранника, делали заметки вручную.

Первое, что бросается в глаза в Пенчукове, это то, что, несмотря на желание поскорее выйти на свободу, он выглядит бодрым и явно умеет извлекать максимум из своей жизни в тюрьме. Он говорит, что много занимается спортом, учит французский и английский — потрепанный русско-английский словарь лежит рядом с ним на протяжении всего нашего интервью. Один за другим, Пенчуков получает аттестаты о среднем образовании. Я делаю замечание, что он, похоже, умен, на что Пенчуков отвечает шуткой: «Недостаточно умен — я в тюрьме».

Энглвуд — тюрьма с низким уровнем охраны и комфортными условиями. Ее невысокое, но просторное здание стоит у подножия Скалистых гор штата Колорадо.

Пыльная трава на обочинах вокруг тюрьмы кишит луговыми собачками, которые с шумом бросаются в норы, едва мимо проезжает тюремный транспорт.

Это совсем не похоже на Донецк, где он когда-то возглавил свою первую киберпреступную группировку. Пенчуков начал свой путь в хакеры с форумов игровых читов, где он искал коды для любимых игр вроде Fifa 99 и Counterstrike.

Он стал лидером преуспевающей группировки Jabber Zeus, получившей свое название за использование революционного вредоносного программного обеспечения Zeus и за то, что их любимой платформой для общения был Jabber.

Пенчуков работал с небольшой группой хакеров, среди которых был Максим Якубец — россиянин, которого позже внесут в санкционные списки США, обвинив в руководстве скандально известной группировкой Evil Corp.

Он рассказывает, что в конце 2000-х группировка Jabber Zeus трудилась в офисе в центре Донецка. Они проводили по шесть-семь часов в день, похищая деньги у иностранных жертв, а после работы Пенчуков часто выступал в Донецке с диджейским сетом под псевдонимом DJ Slava Rich.

«Киберпреступность в те времена была „легкими деньгами“, — говорит он. — Банки понятия не имели, как с этим бороться, а полиция в США, Украине и Великобритании не успевала за происходящим».

В 20 с небольшим Пенчуков зарабатывал так много, что мог позволить себе покупать «новые машины, словно новую одежду». Всего у него было шесть машин — «все дорогие немецкие».

Однако полиции удалось совершить прорыв в расследовании группировки. Они перехватили сообщения ее участников в Jabber и смогли установить настоящую личность «Танка», используя информацию о рождении его дочери, которую он сам же там раскрыл.

Операция ФБР против Jabber Zeus увенчалась успехом, и участников кибербанды арестовали в Украине и Великобритании. Однако благодаря наводке человека, имя которого Пенчуков держит в секрете, и одной из своих быстрых машин хакеру удалось сбежать.

«У меня была Audi S8 с двигателем Lamborghini на 500 лошадиных сил, и когда в зеркале заднего вида замелькали полицейские огни, я рванул на красный и без труда ушел от них. Это была отличная возможность протестировать полную мощь моей машины», — вспоминает он.

Какое-то время Пенчуков скрывался у друга, но когда ФБР покинуло Украину, местные власти, кажется, потеряли к нему интерес. Пенчуков решил не высовываться и, как он сам говорит, исправился. Хотя ФБР все еще были у него на хвосте, он открыл фирму по покупке и продаже угля.

«Я был в отпуске в Крыму, когда получил сообщение от друга, который увидел, что меня внесли в список самых разыскиваемых ФБР преступников. Я-то думал, что мне это все с рук сошло, а тут понял, что у меня появилась новая проблема», — говорит он, явно преуменьшая ситуацию.

Тогдашний адвокат Пенчукова спокойно посоветовал ему не волноваться: если он не будет выезжать за пределы Украины или России, американская полиция ничего не сможет с ним сделать. Однако власти Украины все же пришли, но не с ордером на арест.

Пенчуков утверждает, что когда стало известно, что он богатый хакер, которого разыскивает Запад, чиновники начали приходить едва ли не ежедневно, чтобы стрясти с него денег.

Его бизнес по продаже угля процветал до вторжения России в Крым в 2014 году. Но «зеленые человечки» президента Путина — российские солдаты в форме без опознавательных знаков — разрушили его бизнес, а ракета, выпущенная по Донецку, попала в его квартиру, повредив комнату дочери.

Пенчуков говорит, что именно проблемы с бизнесом и постоянные поборы со стороны украинских чиновников заставили его снова открыть ноутбук и вернуться в мир киберпреступности.

«Я просто решил, что это самый быстрый способ заработать деньги, чтобы заплатить им», — говорит он.

Его история отражает эволюцию современного мира киберпреступлений. От легких и быстрых краж банковских счетов до программ-вымогателей — самой опасной и разрушительной формы кибератак на сегодняшний день. Именно она использовалась в громких хакерских атаках этого года, включая взлом известной британской сети магазинов Marks & Spencer.

Пенчуков говорит, что работа с программами-вымогателями была сложнее, но приносила хорошие деньги.

«Кибербезопасность сильно улучшилась, но нам удавалось зарабатывать около 200 тысяч долларов в месяц. Гораздо больше прибыли».

Он вспоминает показательную историю: ходили слухи, что одна команда хакеров получила 20 миллионов долларов от больницы, которую полностью вывела из строя атака программ-вымогателей. На криминальных форумах эта новость взбудоражила сотни хакеров, и все они бросились атаковать медицинские учреждения США, пытаясь повторить рекордный результат. Пенчуков говорит, что хакерским сообществам не чуждо стадное чувство.

«Людям наплевать на медицинскую сторону вопроса — все, что они видят, это выплату в 20 миллионов».

Пенчуков восстановил связи и прокачал навыки, чтобы стать одним из ведущих партнеров крупнейших сервисов программ-вымогателей, включая Maze, Egregor и известную своей продуктивностью группу Conti.

На часто звучащий на Западе вопрос, работали ли эти преступные группы с российскими спецслужбами, Пенчуков пожимает плечами и отвечает: «Конечно».

По его словам, некоторые участники группировок, работавшие с программами-вымогателями, иногда говорили о разговорах со «своими кураторами» в российских спецслужбах, таких как ФСБ.

Би-би-си направила запрос в посольство России в Лондоне с вопросом, взаимодействует ли российское правительство или его разведывательные службы с киберпреступниками для помощи в кибершпионаже, но ответа не получила.

Пенчуков быстро вернул себе позиции и стал лидером IcedID. Группировка заразила более 150 тысяч компьютеров вредоносным ПО и организовывала различные виды кибератак, включая атаки с использованием программ-вымогателей. Пенчуков руководил командой хакеров, которые просматривали зараженные компьютеры, чтобы понять, как лучше всего извлечь из них деньги.

Одной из их мишеней в 2020 году стал Медицинский центр Университета Вермонта в США. По данным американских прокуроров, ущерб от атаки превысил 30 миллионов долларов, а медицинский центр более двух недель не мог предоставлять многие критически важные услуги пациентам.

Хотя никто не умер, прокуроры утверждают, что атака, парализовавшая 5 000 больничных компьютеров, могла стоить пациентам жизни. Пенчуков отрицает свое участие в этой атаке и утверждает, что признал вину, чтобы сократить себе срок.

В целом Пенчуков, который с тех пор сменил фамилию на Андреев, считает, что два срока по девять лет, которые он отбывает одновременно, — это слишком суровое наказание. Он надеется выйти на свободу гораздо раньше. Кроме тюремного срока, суд также обязал его возместить ущерб жертвам на сумму 54 миллиона долларов.

Будучи молодым хакером, начавшим заниматься киберпреступностью еще подростком, он считал, что люди на Западе и западные компании могут позволить себе потерять деньги, потому что все в любом случае покрывается страховкой.

Но когда я разговариваю с одной из его первых жертв, пострадавшей еще во времена Jabber Zeus, становится ясно, что его атаки действительно нанесли вред невинным людям.

В результате атаки кибергруппировки семейная компания Lieber's Luggage из Альбукерке в штате Нью-Мексико потеряла 12 тысяч долларов. С тех пор прошли годы, но ее владелица Лесли до сих пор помнит, как сильно ее это потрясло.

«Когда позвонил банк, мы просто не могли поверить, мы были в ужасе, потому что мы понятия не имели, что произошло, и банк явно тоже ничего не понимал», — говорит она.

Хотя 12 тысяч — не слишком большая сумма, для компании ее потеря оказалось катастрофой. Именно эти деньги шли на аренду, закупку товара и зарплаты персоналу.

Сбережений, на которые можно было бы опереться в подобной ситуации, у семьи не было, а за бухгалтерию отвечала пожилая мать Лесли, которая до того, как стало понятно, что деньги украли, винила в их исчезновении себя.

«Мы пережили весь спектр эмоций: гнев, раздражение, страх», — вспоминает Лесли.

Когда я спрашиваю, что они хотели бы сказать этим хакерам, они говорят, что пытаться переубедить бессердечных преступников бесполезно.

«Ничего из того, что мы могли бы сказать, не оказало бы на него никакого влияния», — говорит Лесли.

«Я не хочу тратить на него ни минуты своего времени», — добавляет ее муж Фрэнк.

Пенчуков говорит, что не думал о жертвах, и мне кажется, не думает о них и сейчас. Единственная нотка раскаяния появляется, когда он рассказывает, как атаковал программой-вымогателем благотворительную организацию для детей с инвалидностью.

Похоже, единственное, о чем он действительно сожалеет, — это чрезмерная доверчивость к другим хакерам, которая в итоге обернулась арестом его самого и задержанием многих других преступников.

«В киберпреступности нельзя заводить друзей, потому что на следующий день их арестуют, и они станут информаторами», — говорит Пенчуков.

«Паранойя — верный друг хакера», — говорит он. Но успех приводит к ошибкам.

«Если занимаешься киберпреступностью достаточно долго, теряешь хватку», — с тоской замечает Пенчуков.

Как бы подчеркивая предательскую природу киберподполья, Пенчуков говорит, что сознательно избегал любых контактов со своим бывшим напарником по Jabber Zeus и другом Максимом Якубцом после того, как в 2019 году западные власти раскрыли Якубца и ввели против него санкции.

Пенчуков говорит, что заметил явное изменение в хакерском сообществе, когда люди стали избегать работы с Якубцом и многими его предполагаемыми сообщниками из Evil Corp.

Ранее Пенчуков и «Аква», как называли Якубца, проводили время в Москве, выпивая и ужиная в роскошных ресторанах.

«У него были телохранители, что я считал странным — как будто он нарочно выставлял напоказ свое богатство или что-то типа того», — говорит он.

Однако изгнание из мира киберпреступности не остановило Evil Corp, и в прошлом году Национальное агентство по борьбе с преступностью Великобритании обвинило других членов семьи Якубца в причастности к десятилетней криминальной схеме, введя санкции против 16 членов организации.

В отличие от Пенчукова, поймать его или кого-либо из его банды полиции будет непросто. За информацию, ведущую к его аресту, назначена награда в 5 миллионов долларов, но Якубец с предполагаемыми сообщниками вряд ли повторят ошибку Пенчукова и покинут страну.