Ilya și Nikita pleacă la război

Ilya Sachkov a fost arestat în Rusia sub acuzația de transmitere de secrete de stat.

Nikita Kislitsin a fost arestat în Kazahstan. Este acuzat de către SUA de infracțiune cibernetică, dar și de Rusia pentru acces la date neautorizate. Și ambele state au solicitat extrădarea.

Ce au cei doi în comun: au făcut parte dintr-o companie de securitate a informațiilor, Group-IB Global Private Ltd., cu active în Europa, Asia, Africa, Orientul Mijlociu și care, în prezent, construiește o rețea globală descentralizată de centre digitale independente, fiecare concentrându-se pe amenințările regiunii în care se află. Până acum, compania are patru astfel de centre, în Singapore, Dubai, Thailanda și Amsterdam. Group-IB este partener al Interpol și Europol, un furnizor de soluții de securitate cibernetică recomandate de SWIFT și OSCE. GroupIB este membru al Forumului Economic Mondial.

Dar, până să se ajungă aici…

‍

Undeva prin 2003, un student aflat în primul an la Universitatea Tehnică de Stat din Moscova, împreună cu prietenul său, Dmitry, și 5000 de dolari, a pus în practică o idee: un birou de investigare a crimelor cibernetice - Investigation Bureau, IB. Primul lor client: un manager al unei companii petroliere, care a fost amenințat cu publicarea unor fotografii compromițătoare.

În anii care au urmat, Group-IB, fondat de Ilya Sachkov și Dmitry Volkov la Moscova, a început să-și dezvolte propriile soluții tehnologice, iar investigațiile realizate au devenit căutate și costisitoare, 10-40 mii USD, mai apoi 200-300 de mii USD. Clienții: corporații rusești și străine. Din 2007, Group-IB a început să coopereze cu Microsoft. Fondurile strânse de la investitori au fost cheltuite pentru sporirea personalului, dezvoltarea departamentelor de vânzăre și marketing, achiziționarea de echipamente inovatoare. În același timp, Group-IB și-a schimbat tactica de interacțiune cu agențiile guvernamentale: a încetat să facă expertize gratuite pentru Ministerul rus al Afacerilor Interne, FSB și Comitetul de Investigație al Federației Ruse, oferindu-și, în schimb, serviciile la … prețul pieței.

Iar Ilya și-a câștigat recunoașterea ca expert în industria de profil, a intrat în comitete relevante din cadrul Dumei de Stat, Ministerului rus al Afacerilor Externe, Consiliului Europei și OSCE. A vorbit în mod regulat la conferințe importante privind securitatea cibernetică și a ținut prelegeri studenților Academiei Serviciului Federal de Securitate al Rusiei, Ministerului Afacerilor Interne al Rusiei, Băncii Centrale a Federației Ruse, Academiei de Economie Națională. A devenit membru al Information Systems Computer Forensics Association (IISFA), Association of Certified Anti-Fraud Specialists (ACFE), International Honeynet Project, co-președinte al RAEC Cybercrime Commission.

Veniturile Grupului-IB au crescut, compania și-a extins gama de produse și clienții - Sberbank, Gazprom, Rosneft – iar de la activități de due diligence, Grupu-IB a trecut la acțiuni în parteneriat cu Europol și Interpol și a deschis noi birouri.

Doar că, odată cu banii și renumele, au început să apară și ceva nori negri. Așa că, în 2018, Group IB își mută centrul în Singapore și, ușor, începe să se desprindă de afacerea din Rusia, astfel că, în iulie anul trecut, compania a anunțat crearea unei structuri autonome cu management rusesc, axată pe piața din Rusia și CSI. Gestul a fost justificat, pe de o parte de războiul din Ucraina și spectrul sancțiunilor cu care s-ar fi putut confrunta, pe de altă parte de un declin generat de pierderea unor clienți, fenomen agravat de „trădarea” lui Sachkov. S-a mai spus că Group-IB a fost atras de Singapore, deoarece acolo are sediul divizia de criminalitate de înaltă tehnologie a Interpol, cu care firma cooperează.

Așa a apărut F.A.C.C.T. (Fight Against Cybercrime Technologies). Activele rusești ale Grupului-IB au fost achiziționate de acționari locali, iar afacerea a continuat sub conducerea lui Valery Baulin, fost director regional al Group-IB. Acționarul principal al F.A.C.C.T. este fondatorul Group-IB, Ilya Sachkov, alături de Valery Baulin, Altera Capital, Cyberinvest și Aleksey Kozyrev, despre care F.A.C.C.T. se limintează să spună că este „un simplu acționar”. Un amănunt: numele Kozyrev nu este menționat în comunicatul de presă privind cumpărarea și rebranding-ul activelor din Rusia ale Group-IB. Probabil că nu este vorba de Aleksey Pavlovich Kozyrev, specialistul rus în istoria filosofiei. Și nici de Aleksey Olegovich Kozyrev, fost ministru adjunct al Dezvoltării Digitale, Comunicațiilor și Mass-Media al Federației Ruse. Group-IB susține că Sachkov și-a vândut participația de 37,5% din entitatea din Singapore membrilor conducerii grupului.

F.A.C.C.T. a moștenit expertiza Group-IB în toate domeniile cheie și continuă să ofere servicii de securitate cibernetică, urmând ca în Rusia să se renunțe complet la utilizarea mărcii Group-IB până la sfârșitul acestui an.

În timp ce Group-IB își pierdea „aripa” rusă, doi dintre reprezentanții săi își pierdeau libertatea

‍

Ilya Sachkov a fost arestat în septembrie 2021, fiind acuzat de trădare, de trimitere în străinătate de materiale care erau secrete de stat și, recent, a fost condamnat la 14 ani într-o închisoare de maximă siguranță și o amendă de 500.000 de ruble (aproximativ 5.550 USD).

Cu o lună înainte ca Ilya să afle cât are de stat la închisoare, Nikita Kislitsin, un fost analist de securitate al Group-IB, care a ales să se alăture F.A.C.C.T., a fost arestat în Kazahstan. Lui îi sunt aduse acuzații și de către SUA și de către Rusia, ambele state solicitând extrădarea. O extrădare asupră căreia, Kazahstan a hotărât, deocamdată, doar că nu va fi în America.

În SUA, Kislitsin este acuzat (din 2020) de vânzarea neautorizată de nume de utilizator și parole ale clienților americani ai platformei de socializare Formspring, în 2012. Este anul în care Nikita Kislitsin își părăsea postul de redactor-șef de la Hacker, o revistă rusească dedicată securității informatice. Apoi, după ce va mai lucra o vreme în SUA ca cercetător independent în domeniul amenințărilor cibernetice, Nikita ajunge, în 2013, cu tot cu experiența din presă și cercetare, în firma lui Ilya.

Potrivit unui comunicat al Group-IB, dintr-o inițiativă personală, proaspăt angajatul Nikita Kislitsin se întâlnește chiar în anul în care devine membru al companiei, cu funcționari ai Departamentului de Justiție al SUA pentru a-i informa despre activitatea sa de cercetare din underground. Iar în anul următor, Nikita, cu acordul lui Ilya, a depus mărturie în fața agenților FBI despre activitățile hackerilor ruși și ale lui Dmitri Dokuchaev, un ofițer FSB asociat cu aceștia, fost redactor și el, la un moment dat, la revista Hacker.  

În ce fel a ajuns Nikita inculpat din calitatea de angajat plin de solicitudine și martor benevol, nu prea se știe. Cert este că Departamentul de Justiție al SUA a făcut public, abia în 2020, rechizitoriul în care se menționează că Nikita Kislitsin a fost implicat într-o conspirație pentru a vinde acreditările furate de la Formspring. În rechizitoriu apar trei complici ai lui Kislitsin, dar niciunul dintre ei nu este numit. Însă Group-IB a emis o declarație prin care leagă acuzațiile împotriva lui Kislitsin de cazul lui Evgeny Nikulin, găsit vinovat de compromiterea LinkedIn, Dropbox și Formspring și de furtul datelor de pe 213 milioane de conturi de utilizatori.

Nu se știe nici de ce Nikita este arestat abia pe 22 iunie, cu toate că în ultimii ani a călătorit nestânjenit în afara țării, inclusiv în Kazahstan. Pagina Linkedin a lui Kislitsin și alte profiluri publice de rețele sociale au fost șterse înainte.

Ulterior reținerii sale în Kazahstan, Moscova și-a exprimat brusc interesul pentru Kislitsin și a emis, la rândul ei, un mandat de arestare urgentă, cu acuzații necunoscute, legate de accesul neautorizat la informații protejate. În mod ironic, Rusia nu a avut întrebări legate de Kislitsin până când SUA nu au cerut extrădarea.

Este evident că între Ilya și Nikita nu există doar legătura apartenenței la Group-IB

‍

Potrivit Forbes, cazul Sachkov este condus de anchetatorul FSB, Aleksey Khizhnyak. Același care a avut atribuții similare și în cazul lui Paul Whelan, un cetățean american reținut la Moscova în decembrie 2019, acuzat de spionaj.

În rechizitoriu se spune că Ilya Sachkov a predat serviciilor de informații străine, în 2011, date secrete de stat care au cauzat intereselor Rusiei. Cel mai probabil, este vorba despre hackeri internaționali care au lucrat pentru FSB și au fost depistați de specialiștii în securitate cibernetică de la Group-IB. Dovezile deținute în caz includ telefoane, un laptop, cărți de vizită ale unui ofițer FBI și ale unui angajat al Ambasadei Marii Britanii în Rusia. Potrivit apărării, martorul cheie care a depus mărturie împotriva lui Sachkov a fost o „persoană interesată” și anume fostul șef al departamentului 2 al Centrului de securitate a informațiilor FSB, Serghei Mihailov.

Ce fel de informații se presupune că a transmis Ilya către FBI?

O variantă este că despre grupul de spionaj cibernetic APT28 (Fancy Bear) și amestecul hackerilor ruși în alegerile prezidențiale din SUA din 2016.

O altă versiune face referire la participarea Grupului-IB la investigațiile Interpol și transmiterea de informații despre omul de afaceri rus Vladislav Klyushin, care deține compania M13, furnizor către autorităților ruse de servicii de monitorizare media și social media, arestat în Elveția în 2021 și apoi extrădat în Statele Unite.

Sunt speculații și legate de o acuzație formulată public de fondatorul Group-IB la adresa șefului Evil Corp., aflat sub sancțiuni SUA, Maxim Yakubets: „lumea întreagă spune că hackerul Maxim Yakubets, care la Moscova conduce un Lamborghini, este un criminal informatic, un creator de viruși, dar nici un singur organism de stat rus, nici poliția, nici FSB și nici Ministerul de Externe nu spun nimic.” Asta i-ar fi supărat și pe hacker și pe autoritățile criticate.

Însă, potrivit presei din Rusia, Ilya Sachkov s-a transformat din martor în acuzat atunci când Dmitri Dokuchaev, condamnat pentru trădare, ar fi depus o mărturie, care l-ar fi ajutat pe fostul ofițer FSB să-și obțină eliberarea condiționată, în 2021. Este același Dmitri Dokuchaev despre care Nikita le-a vorbit celor de la FBI. Un personaj implicat într-un celebru scandal de spionaj - „cazul Mihailov”.

Sachkov a fost martor al acuzării în „cazul Mihailov”,  care se referă la activitățile Centrului de Securitate Informațională al FSB, ai cărui angajați  - Serghei Mihailov, Dmitri Dokuchaev - au fost implicați în înaltă trădare după ce au participat la o serie de dosare penale de mare profil. Un caz care ar fi dus la încetarea cooperării dintre Rusia și SUA privind criminalitatea cibernetică. În decembrie 2016, Dokuchaev a fost arestat în Rusia (un mandat federal de arestare a fost emis și în SUA două luni mai târziu) și apoi condamnat sub acuzația de trădare, alături de Serghei Mihailov. Detaliile acestui dosar penal sunt secrete, însă o sursă Interfax a susținut că inculpații ar fi putut transfera date confidențiale agențiilor de informații americane, în special CIA, într-un „joc dublu”. În martie 2017, Departamentul de Justiție al SUA a anunțat implicarea lui Serghei Mihailov și Dmitri Dokuchaev în piratarea a 500 de milioane de conturi de e-mail Yahoo. În Rusia, Dokuchaev a primit pedeapsa minimă și a fost eliberat condiționat la începutul lunii mai 2021.

„Dacă vezi asta, înseamnă că am fost ucis sau sunt în închisoare”, cu aceste cuvinte începe un videoclip pe care Sachkov l-a înregistrat în 2021, dar a apărut pe canalul Telegram al lui Ilya doar cu câteva luni înainte de arestarea sa. Canal pe care au fost postate, ulterior, și alte mesaje. De pildă: „vreau să-i trimit un salut special lui Oleg Innokentevich Kashentsov [șeful Centrului de securitate a informațiilor FSB], care este responsabil pentru securitatea internetului nostru într-un anumit sens al cuvântului. Din cauza unor astfel de oameni, în țara noastră nu există securitate. Acești oameni sunt ocupați să prindă dușmani interni inexistenți, să cheltuiască banii statului, să-și înnebunească angajații și să-i demotiveze pe inginerii ruși”.

În scrisorile transmise presei, Sachkov și-a comparat cazul cu cel al lui Dreyfus, un ofițer francez condamnat pentru spionaj pentru Germania la sfârșitul secolului al XIX-lea, ulterior grațiat. Ilya a tot avertizat, de prin 2014, că se simte urmărit și că se pregătește o provocare împotriva sa: „uciderea oamenilor este destul de stupidă, va atrage mai multă atenție asupra problemei. Este mai ușor să discreditezi o persoană, să arăți că firma înșală cumva statul. Afirmația mea preferată este că în Group-IB sunt spioni americani sau că bunicul meu este celebrul profesor de criptografie [fost ofițer KGB, Vladimir] Sachkov. Apropo, acesta este doar un omonim”.

Cu două zile înainte să se pronunțe condamnarea, pe canalul Telegram al lui Sachkov a apărut alt mesaj: „dacă va exista un verdict de vinovăție, aceasta va fi una dintre cele mai de succes operațiuni ale serviciilor de informații americane și o altă lovitură planificată asupra sectorului IT rus”. Se mai spune că Sachkov a rostit aceste cuvinte după încheierea ultimei ședințe de judecată. De precizat că, aparent pentru asigurarea securității cibernetice, la scurt timp după arestarea lui Sachkov, în octombrie 2021, Ucraina a impus sancțiuni împotriva companiei sale. Iar, după reorganizare, de pe site-ul Grupului-IB au fost eliminate referințele la serviciile speciale rusești și numele companiilor rusești cu care s-a colaborat.

Ilya i-a trimis o scrisoare lui Putin: nu sunt spion, nu sunt trădător, ci un inginer rus, care prin munca sa „a dovedit în mod repetat devotament față de Patria Mamă”

‍

Poate are dreptate. Ilya Sachkov, care în tinerețe a încercat, fără succes, să obțină un loc de muncă în departamentul „K” al Ministerului de Interne, a considerat că obiectivul său este să construiască un nou tip de companie de securitate cibernetică, una care „să nu depindă de niciun stat”: „ suntem gata să facem joint ventures cu toată lumea, să luăm clienți de oriunde și orice agenție de aplicare a legii din orice țară ne poate contacta. Nu există o singură lege care să-mi interzică să fac asta”. Și tot Sachkov:„avem birouri în mai multe țări, iar dacă cel rusesc este închis, Singapore va rămâne. Datele noastre sunt stocate într-un anumit mod, criptate și disponibile unui cerc limitat de persoane. Dacă va începe presiunea asupra unuia dintre angajații noștri, aceste informații vor ajunge la agențiile de aplicare a legii și în presă”.

Kasparov.ru, site web în limba rusă, critic la adresa lui Vladimir Putin, fondat de către campionul de șah Garry Kasparov, și-a întrebat, recent, cititorii ce părere au despre verdictul în cazul Sachkov. În zece zile, 1673 de persoane au răspuns la întrebare: doar 53 de participanți (3,2%) sunt de acord că Sachkov poate fi considerat un trădător, 1409 (84,2%) cred că verdictul nu ar fi putut fi diferit, deoarece nu există justiție în Rusia, 147 de persoane (8,8%) au considerat că numele hackerilor care operează în domeniul global ar trebui făcute publice, chiar dacă în spatele lor se află FSB.

Acest material este realizat pe baza informațiilor din surse deschise: group-ib.com, facct.ru, reuters.com, bbc.com, forbes.com, krebsonsecurity.com, computerweekly.com, theregister.com, regmedia.co.uk, securityaffairs.com, international.unina.it, habr.com, www.ixbt.com, tedxmoscow.com, kz.kursiv.media, kasparov.org, theins.ru, thebell.io, meduza.io, ria.ru, lenta.ru, kommersant.ru, tass.ru, rg.ru rtvi.com, rbc.ru, forum.sources.ru, ctnews.ru, xakep.ru, compromat.group, comnews.ru, finam.ru cnews.ru, dp.ru, anti-malware.ru, bfm.ru

‍