Интернет и технологии

Преступление вместо наказания: известный русский хакер Петр Левашов оказался агентом ФБР

Юрист Насковец: сомневаться в том, что Левашов стал информатором ФБР, не стоит

Преступление вместо наказания: известный русский хакер Петр Левашов оказался агентом ФБР

Max Acronym/Shutterstock/FOTODOM

За авторитетным и одним из самых известных русских хакеров под ником Bratva может скрываться так называемый «король спама» Петр Левашов. С 2018 года он живет в США и, как следует из публикаций в СМИ, связан с ФБР. Обнаруженные «Газетой.Ru» закономерности и опрошенные эксперты указывают на то, что Левашов может собирать информацию о русскоязычных киберпреступниках, позволяющую американским спецслужбам идентифицировать хакеров, выдвигать против них обвинения и объявлять в розыск. Кроме того, Bratva мог получать от ФБР секретные сведения, которые потом публиковались с целью очернить Россию. Выводы «Газеты.Ru» о связи Bratva и Левашова основаны на обнаруженных редакцией корреляциях и информации, полученной от источников. Сами герои истории, Severa и Bratva, отрицают связь друг с другом.

Мальчик с Severa

Петр Левашов родился 13 августа 1980 года в Ленинграде, получил математическое образование в Санкт-Петербургском политехническом университете на кафедре технической кибернетики. В киберпреступном сообществе Левашов больше известен под ником Severa.

Severa прославился благодаря ботнетам Storm Worm, Waledac и Kelihos, созданным в 2007, 2008 и 2010 годах. Был ли Левашов разработчиком этих систем неизвестно, но он управлял ими и использовал их для массовой рассылки электронных писем, DDoS-атак, распространения вредоносного ПО вроде вирусов-шифровальщиков.

Под рассылкой подразумеваются не только легальные рекламные электронные письма, но и вредоносные послания мошенников. Только один ботнет Левашова — Kelihos — в сутки мог отправлять до 4 млрд сообщений. Некоммерческая организация Spamhaus Project, изучающая деятельность спамеров, неоднократно вносила Severa в топ-10 крупнейших в мире рассыльщиков нежелательных и вредоносных электронных писем.

Левашов утверждает, что занимается «бизнесом» с 1999 года, то есть Severa рассылал спам по всему миру, в том числе и в США, без малого 20 лет. В 2017 году его арестовали в Барселоне, и вскоре был ликвидирован его главный ботнет — Kelihos, который к тому времени уже поглотил более мелкий Waledac. Storm Worm же и вовсе перестал подавать признаки активности задолго до этого события.

Левашова арестовали в Барселоне по запросу США о его экстрадиции. В СМИ некоторое время это подавалось как политическое дело: якобы созданный им вирус связан с победой Дональда Трампа на президентских выборах в 2016 году. На самом же деле причина оказалась более прозаичной: минюст США обвинил русского хакера в том, что управляемый Severa ботнет Kelihos использовался для распространения вредоносного ПО и кибермошенничества. Примерно в то же время за киберпреступления Левашова объявили в международный розыск и в России. По данным источника «Газеты.Ru», связанного с правоохранительными органами, дело Severa в РФ до сих пор не закрыто.

Ориентировка

МВД России

«Против него было возбуждено уголовное дело по статьям «Неправомерный доступ к компьютерной информации» и «Создание, использование и распространение вредоносных компьютерных программ». Обвинение было заочно предъявлено 14 августа 2017 года. Василеостровский районный суд Санкт-Петербурга вынес постановление о заключении Левашова под стражу, после чего 15 августа 2017 года программист был объявлен в международный розыск», — сообщил источник.

В одном из интервью Левашов заявил, что уголовное дело в России было открыто по его инициативе. Признавшись в киберпреступлениях на родине, которые, по его словам, он на самом деле не совершал, Левашов надеялся, что из Барселоны его экстрадируют в РФ, а не в США, что для него было предпочтительнее. Также Severa отмечал, что он пытался добиться экстрадиции в Россию, настаивая в суде Барселоны на том, что является офицером.

«Я — офицер российской армии, офицер-ракетчик, лейтенант в запасе. Звание получил в институте, где проходил службу на секретной военной кафедре. У меня есть знания, которые Российская Федерация не должна была отдавать, экстрадируя в США», — сказал Severa в интервью, которое на момент публикации материала было удалено с YouTube-канала Mr. NASKAVETS (автор канала предоставил «Газете.Ru» запись этого интервью из личного архива).

Несмотря на юридическое сопротивление, в 2018 году Левашова экстрадировали в США и сразу же арестовали. В январе 2020-го его освободили под залог. В июле же 2021 года, после 33 месяцев отбывания наказания в Барселоне и США совокупно, он был освобожден под подписку о невыезде.

Такое наказание некоторые СМИ сочли «необычайно мягким» и одним из самых легких среди всех дел русских хакеров в США. Американский исследователь кибербезопасности Гэри Уорнер, комментируя решения судьи по делу Левашова, назвал его «пародией на правосудие». Сторона обвинения просила для Severa 14,5 года лишения свободы.

Severa считает, что мягкого вердикта он добился, «развалив» дело в суде благодаря своей подкованности в области американского права. По факту же, скорее всего, на решении судьи в первую очередь сказалось признание вины по нескольким пунктам обвинения. Кроме того, Левашов мог получить легкое наказание ввиду сотрудничества с ФБР. Информация о том, что Severa пошел на сделку с американскими властями в надежде на облегчение своего наказания, является открытой.

Любитель трех букв

О связи Левашова с ФБР стало известно в ходе суда над другим русским хакером — Олегом Кошкиным.

Кошкина задержали в Калифорнии в сентябре 2019 года по обвинению в создании и поддержке сервиса Сrypt4u для маскировки вредоносного ПО. Он позволял вирусам оставаться незамеченными для антивирусов и других защитных средств на атакуемых компьютерах. В июле 2021 года на судебном заседании по делу Кошкина Severa дал показания. Он отвечал на вопросы адвоката Кошкина, вероятнее всего, в качестве свидетеля: в одном из пресс-релизов минюста США указано, что Левашов и Кошкин вместе работали над ПО для маскировки вирусов. В декабре 2021 года Кошкина приговорили к четырем годам тюрьмы.

В суде по делу Кошкина Левашов рассказал, что начал работать с ФБР еще в 2018 году, спустя несколько месяцев после экстрадиции в США. Выдержки из материалов суда по делу Кошкина в 2021 году опубликовали различные СМИ.

В материалах суда по делу Кошкина не раскрывается точный характер партнерства Левашова с ФБР. При этом сам Severa свою работу со спецагентами, отвечая на вопросы адвоката под присягой, назвал «помощью правительству США в борьбе с преступностью» в надежде на смягчение своего наказания. Также он признался, что помогал ФБР в интерпретации улик с его компьютера и флэш-карты, которые были изъяты, когда он находился в Барселоне. На этих носителях информации была в том числе переписка с Кошкиным. Левашов рассказал в суде, что за все время заключения в США у него было более 100 встреч с агентами ФБР. Адвокат Кошкина назвал это «поразительным» количеством. Любопытно, что после выхода под залог Severa получал «от правительства» США ежемесячное «пособие» в размере $6000.

«Факт сотрудничества со спецслужбами другой страны является для офицера российской армии грубым нарушением военной присяги. Я не думаю, что в случае возвращения в РФ его могут арестовать из-за этого. Однако если Левашова арестуют по другой причине, факт нарушения присяги, да и еще таким образом, может стать весомым отягчающим обстоятельством для обвинения. Тут я бы еще вспомнил слова президента Владимира Путина о предателях родины. В одном из заявлений он сказал, что в России нет смертной казни, но предателей ждет жесткое наказание», — сказал «Газете.Ru» руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.

Бизнес-менеджер и юрист из компании Sharova Law Firm Дмитрий Насковец в разговоре с «Газетой.Ru» рассказал, что сотрудничество русских хакеров с американскими спецслужбами распространенная, но вынужденная практика.

«Сомневаться в том, что Левашов стал информатором ФБР, не стоит. Однако он не первый и не последний русский хакер, который вынужденно согласился на эту сделку. Почти к каждому киберпреступнику из России и СНГ в США после ареста рано или поздно приходят с ультиматумом. Ему предлагают выбор: признать вину и отсидеть, допустим, 10 лет, не признать вину и отсидеть 30 лет, а также признать вину, начать сотрудничать со спецслужбами и получить минимальное наказание или остаться без него вовсе. Прокурор запрашивал от 12 лет для Левашова, а отсидел он 33 месяца. Тут все очевидно», — пояснил Насковец «Газете.Ru».

По его словам, завербованные хакеры для США — самое эффективное оружие против русскоязычных киберпреступников. Завербованные занимаются анализом информации в киберпреступном сообществе (на даркнет-форумах, в Telegram и соцсетях) в пользу США. Под анализом подразумевается сбор сведений, позволяющих раскрыть личности хакеров и выдвинуть против них обвинения, а также узнавать об их возможных целях.

«Насколько мне известно, какого-то давления на хакеров во время следствия в США не оказывается. Впрочем, им четко дают понять, что если не признать вину, срок будет огромный. Тут надо еще понимать, что в США дела против хакеров возбуждаются только после того, как ФБР предоставляет суду убедительные доказательства вины субъекта. То есть, отрицая вину и не приводя доказательств этого, довольно легко получить максимальное наказание, которое запрашивает прокурор», — объяснил Насковец.

Он также рассказал, что после приговора хакеры из России и СНГ, как правило, отправляются в тюрьмы «низкого уровня безопасности», где сидят, например, за финансовые преступления и торговлю наркотиками.

«Самое жесткое место — это СИЗО. В СИЗО сидят все вместе: и хакеры, и убийцы. Однако даже там зачастую русскоязычных сильно не прессуют. Американцы знакомы со стереотипами о том, что мы сделаны из автоматов, водки и православных крестов, поэтому лишний раз стараются с нами не связываться», — добавил Насковец.

Раздвоение личности

В разговоре с «Газетой.Ru» в декабре 2024 года Левашов заявил, что дел с американскими спецслужбами никогда не имел.

«Я с удовольствием даю интервью российским изданиям, но у вас очень странные вопросы. Когда я под присягой или хотя бы без присяги сознавался в работе на спецслужбы США? Я был, есть и буду патриотом России. Зачем перепечатывать этот бред? (имеются в виду публикации в СМИ, в которых приводятся выдержки из материалов суда над Кошкиным) Вам кто-то платит? Если я узнаю, что вам платят за эту статью обо мне, не обижайтесь потом и не думайте про неадекватность моей реакции и прочее, ок?» — заявил Левашов.

Bratva — предположительно, альтер-эго Левашова, под которым он пишет в соцсетях и на хакерских форумах, наоборот, предметно согласился обсудить с «Газетой.Ru» сотрудничество Severa c ФБР. Bratva заявил, что Левашов контактировал с американскими спецагентами и помимо дела Кошкина.

«Петр Левашов действительно был информатором ФБР, также он давал показания в деле Кошкина (Сrypt4u). Если посмотреть докет в PACER (докет — это список публичных документов по судебному делу; PACER — сервис публичного доступа к документам федеральных судов США), Левашова допрашивал адвокат Кошкина, и в ходе этого допроса Левашов признался сам, что работает с ФБР», — сказал «Газете.Ru» Bratva.

Хакер Bratva появился в Telegram и на одном из крупнейших русскоязычных хакерских форумов XSS в январе 2022 года. На этом форуме он быстро стал модератором как минимум одного раздела — «Кулуарные обсуждения». В нем, как гласит описание, обсуждаются «закулисье хакерской сферы, внутренняя кухня, исторические факты, скандалы, интриги, расследования», а также ведутся «разговоры о наболевшем». Как в своем Telegram-канале Cirque du Soleil, так и в профиле на XSS в качестве аватара Bratva использует винтажную афишу американского Цирка Ханта, на которой изображены клоуны.

Однако главным проектом Bratva является уже упомянутый выше Telegram-канал Cirque du Soleil. Все посты в этом канале написаны на английском языке и носят разоблачительный характер. Оперируя фактами из общедоступных источников, материалов из даркнета, а также собственными данными, Bratva рассказывал о преступлениях «русских» хакеров и подчеркивал их возможную связь с российскими и западными спецслужбами. На момент публикации материала Telegram-канал Cirque du Soleil удален, но копии всех постов сохранились в архивах аналитических платформ.

Последним и одним из самых резонансных постов Bratva в этом канале был о том, что лидер известной хакерской группировки Revil с никнеймом Unknown и оперуполномоченный 4-го управления МВД России, лейтенант полиции Александр Ермаков, которого в 2021 году арестовали по подозрению в подготовке заказного убийства, это один и тот же человек.

«Случай с разоблачением Unknown в Cirque du Soleil — уникальный. Во-первых, круг людей, знавших о том, что Ермаков — это Unknown, очень узкий. Получить ее просто так, на доверии в хакерском комьюнити, невозможно. В то, что она была у спецслужб США или РФ, я охотно верю. А учитывая, что Bratva — это, вероятно, Петр Левашов, который завербован ФБР, источник информации очевиден. Во-вторых, мало просто иметь эту информацию, нужна смелость или уверенность в безнаказанности за ее публикацию. Опять же, если мы допускаем, что Bratva и Левашов — одна сущность, можно понять, откуда такая уверенность взялась. Но! Даже имея «крышу» со стороны ФБР, я бы не смог спать спокойно на месте Bratva после публикации слива Unknown», — сказал «Газете.Ru» независимый исследователь информационной безопасности и экс-хакер Павел Ситников.

Ситников уверен, что Cirque du Soleil — это информационное оружие ФБР, направленное на дискредитацию России и русских хакеров в мировом медиапространстве и киберпреступном сообществе. Об этом говорит как минимум то, что все публикации направлены на разоблачение русских хакеров, и то, что канал велся на английском языке.

«Лично мое мнение в том, что цель всего предприятия под названием Cirque du Soleil — кристаллизовать ассоциацию между хакерами-вымогателями и Россией. Нужно это для того, чтобы ни у кого не было и мысли о том, что родина шифровальщиков на самом деле — Украина. Первый коммерческий шифровальщик — GrandCrab — это разработка украинского информатика, которого в целом можно назвать гением, но со знаком минус, — Максима Плахтия», — добавил Ситников.

Другой задачей канала Cirque du Soleil, как рассказал «Газете.Ru» хакер Reeves, скорее всего, является сбор данных о посетителях. В дальнейшем эта информация позволяет идентифицировать интернет-пользователей.

«Telegram-канал Cirque du Soleil — это ну как бы сайт, еще один условный сервер с IP-адресом и доменным именем. Когда я смотрел, что там в доменном имени, я увидел CDN компании Cloudflare. Это значит, что сайт собирает все, что можно собрать, о каждом посетителе. В первую очередь — IP-адреса. Для чего? Хрен знает. Но я считаю, что это ловушка для хакеров, ханипот. Вот ты ходишь по этой ссылке раз, два… Десять раз, сто. Каждый твой переход по ссылке логируется, записывается. Анализируя эти записи, тебя со временем можно запросто деанонимизировать. Сам факт, что Bratva создал канал с такой подлянкой, которая, очевиднейшим образом может быть полезна ФБР, говорит о многом», — сказал Reeves.

Тайны стремятся к свету

Разговоры о том, что Bratva и завербованный ФБР Петр Левашов/Severa могут быть одной сущностью, в хакерском сообществе всплывали неоднократно. Однако в некую сентенцию эта версия превратилась в конце 2024 года, после того, как 11 ноября Bratva на форуме XSS раскрыл имена некоторых участников хакерского чата Club1337. Многие участники киберпреступного комьюнити оценили данный поступок, мягко говоря, неоднозначно.

Скриншот с форума XSS, в котором Bratva разоблачает имена участников Club1337

«В нашей субкультуре — доксить, то есть деанонимизировать кого-либо против воли, нельзя. Это запрет, табу, фундаментальное правило… Bratva поступил максимально не по-пацански. За такое должны быть последствия», — сказал «Газете.Ru» пользователь XSS, который представился как Михаил Ломака.

Последствия в каком-то смысле были: Bratva начали доксить в ответ. О том, что Bratva — это Левашов, сообщили различные пользователи XSS вроде rfm0x и Студента. В Telegram соответствующие громкие заявления делал предположительно связанный с СБУ украинский хакер Владислав BadB Хорохорин. Впрочем, никто из них не привел убедительных доказательств.

Корреспонденту «Газеты.Ru» удалось самостоятельно найти несколько закономерностей, которые указывают на возможную связь между Bratva и Петром Severa Левашовым.

Первое косвенное доказательство этой связи — совпадающие дни возвращения Severa на форум XSS после освобождения в США и регистрации профиля Bratva.

Первый пост профиля Severa на форуме после тюрьмы появился 25 января 2022 года. Левашов опубликовал его в теме «Король спама» Петр Левашов (Severa) вышел на свободу в США».

«Привет, бразы! Очень рад всех вас видеть! Уже пять лет почти прошло, как я последний раз заходил на Дамагу (Дамага, она же Damagelab — это старое название форума XSS. — «Газета.Ru»), накануне моего ареста. Спасибо admin за восстановленный аккаунт. Начну с главного: я никого не сдавал, вообще никак не кооперировал с правительством США. И в дальнейшем это докажу», — написал Левашов с профиля Severa.

Первый пост Петра Левашова/Severa на форуме XSS после освобождения в США

Дальше в этой теме — 25 и 26 января — Severa несколько раз отбивается от нападок участников форума, которые обвинили его в сотрудничестве с правительством США. В то же время — 26 января — на XSS зарегистрировался пользователь с ником Bratva. Можно предположить, что Левашов создал себе второй аккаунт сразу, как понял, что под старым ником — Severa — комьюнити его не примет. Особенно после публикации в СМИ доказательств сотрудничества Левашова с ФБР.

Скриншот профиля Bratva, на котором видно, что он был зарегистрирован сразу после возвращения на форум XSS Петра Левашова

Второе и третье доказательства — это реакция Severa и Bratva на вопросы корреспондента «Газеты.Ru» об их возможной связи. Корреспондент «Газеты.Ru» написал и Левашову и Bratva в один день — 9 декабря 2024 года. Левашов ответил в тот же день. Спустя пару часов после агрессивного ответа корреспонденту «Газеты.Ru» написал знакомый OSINT-специалист (эксперт по добыче и анализу информации). Он уведомил журналиста о том, что некий пользователь с ником Axiopoinos пытался выведать о нем информацию. Axiopoinos в переписке с OSINT-специалистом беспочвенно обвинял корреспондента в продажности, как это ранее сделал Левашов.

К тому же Axiopoinos знал, что корреспондент собирает информацию о Левашове и Bratva. То есть, вероятно, Axiopoinos был либо соратником Левашова, либо самим Левашовым. Примечателен этот факт и тем, что, вероятно, Левашов, не будучи Bratva, не стал бы переживать по поводу потенциальный статьи об их связи и «пробивать» журналиста.

Предупреждение корреспондента «Газеты.Ru» о начале его «пробива»

Bratva ответил корреспонденту 10 декабря и также после общения начал действовать. А именно: он в тот же день удалил Telegram-канал Cirque Du Soleil, закрыл личный профиль в Telegram, а также избавился от всех публикаций в соцсети X. Столь бурная реакция со стороны Bratva кажется подозрительной, учитывая, что он настаивал на отсутствии связи с Левашовым.

Состояние канала Cirque du Soleil после общения Bratva и Левашова с корреспондентом «Газеты.Ru»

Слово свидетелям

Корреспондент «Газеты.Ru» не единственный человек, который предполагает, что Левашов и Bratva — это один тот же человек. Юрист Sharova Law Firm Дмитрий Насковец также склоняется к этой версии. Он рассказал, что знаком с исследователем хакерской сферы, который разоблачил Bratva и Левашова. Называть его имя Насковец отказался, но поделился деталями расследования.

«Я буду осторожен и не стану со 100-процентной уверенностью утверждать, что Левашов и Bratva — это одна сущность. Но расскажу вам следующую историю. Раньше я состоял в дружеских отношениях с одним из исследователей, который еще до Левашова стал помогать властям США, собирая информацию про русских хакеров. Грубо говоря, Левашов и этот исследователь в какой-то момент стали конкурентами по роду деятельности. Из-за этого исследователь начал интересоваться, кем является лихой пользователь Bratva, который публиковал в своем Telegram-канале Cirque Du Soleil профессиональные досье на русскоязычных хакеров. В какой-то момент исследователь написал Bratva в личные сообщения: «Ты Левашов?» Bratva ответил исследователю, что если он продолжит копать под него, то нарвется на большие проблемы. Дальше у исследователя и Левашова была встреча в США. На этой встрече исследователь и Левашов заключили джентльменское соглашение — не сливать друг друга, то есть не разоблачать и не припоминать грязные делишки. Дело в том, что у Левашова тоже есть чем скомпрометировать исследователя», — сказал «Газете.Ru» Насковец.

Кроме того, «Газете.Ru» удалось пообщаться с одним из свидетелей противостояния Bratva с Club1337. Опираясь на хронологию событий, он также склонен считать, что Bratva — это и есть Левашов.

«Смотри, был в Telegram такой закрытый чат, как Club1337. В нем сидело, ну, человек 20. Все они — очень старые участники хакерских даркнет-форумов. Опытные, привилегированные… Туда долгое время хотел попасть Левашов. Он интересовался, кто там сидит, кого атакуют, чем атакуют… С самого основания копал под этот чат и хотел в него попасть. Его туда многократно не пускали, потому что Левашов — мусорнулся, ФБРовец… Проходит какое-то время. Ко мне приходит Левашов и спрашивает, кто там сидит и что делает. Я говорю: знаю четыре имени… Он: а я знаю пять. И перечисляет их. Меньше чем через сутки, где-то через 20 часов, администрация Telegram удаляет чат и канал Club1337. Тут же на XSS появляется пост Bratva, где он раскрывает те самые пять имен из Club1337, которые мне недавно называл Левашов. Я потом спрашиваю Левашова: твоя работа? Он, конечно, прикинулся дураком и сделал вид, что не знает, о чем речь. Но по датам, по времени сходится, что это он. Копейка в копейку. Также буквально за неделю-две до удаления Club1337, в этот чат начал ломиться Bratva. Причем Bratva задавал те же вопросы, что и Левашов: кто, что, зачем… Более того — Левашов впрягался за Bratva: Левашов просил других участников впустить в чат Bratva», — сказал источник.

По его словам, все эти совпадения говорят о том, что Bratva — это и есть Петр Severa Левашов.

Что думаешь?

Комментарии
Источник

Похожие статьи

Живущий в Китае блогер из Донецка назвал недостаток страны

27.03.2024

Роскомнадзор сообщил о сбое в работе Steam по всему миру

3 недели тому назад

Главком ВМФ Евменов: корабли США с ракетами Tomahawk угрожают безопасности РФ

02.02.2024

В Госдуме заявили об отсутствии решений о блокировке WhatsApp в России

13.07.2024
Кнопка «Наверх»