Вбить call: как IT-компания из США связана с телефонными мошенниками на Украине
Расследование «Известий» — об идеологе зарубежных call-центров и поставщике украденных данных о россиянах
EN
Одним из ключевых распространителей персональных данных россиян в интересах телефонных мошенников может быть украинский хакер Владислав Хорохорин, осужденный за кражу $9 млн у граждан США и заключивший сделку с американскими спецслужбами. В 2022 году он создал специальный сервис по пробиву для мошеннических call-центров, используя сайт компании, основанной в Нью-Йорке адвокатом русских хакеров Аркадием Бухом. О том, как ветеран постсоветской киберпреступности мог превратиться в идеолога телефонных мошенников, действующих против граждан России, заказывал взломы АЭС, признавался в убийствах военнослужащих РФ и угрожал расправой их детям, — в расследовании «Известий».
ВОР и ГУР
«Не мог позже прийти на 10 минут? Не было бы твоего выродка и хаты», — заявил по телефону неизвестный отцу 11-летнего ребенка, который застал сына с зажигалкой в руках в наполненной газом квартире. В июне 2024 года с такой историей в правоохранительные органы обратился житель Северодвинска — города, известного прежде всего как центр строительства российских атомных подлодок. От трагедии в многоквартирном доме спасла хорошая вентиляция в помещении. СК возбудил дело о покушении на убийство несовершеннолетнего общественно опасным способом.
В СМИ сложилась традиция называть мошенниками всех злоумышленников, использующих методы социальной инженерии под видом сотрудников банков, полиции или спецслужб. Материальный ущерб от них в прошлом году достиг гигантской суммы в 200 млрд рублей, а количество пострадавших россиян — 449 тыс. Однако зачастую действия мошенников выходят за пределы корыстных мотивов и квалифицируются как теракты, уничтожение имущества или доведение до самоубийства.
В августе 2023 года 76-летний Валерий Ершов из Ленинградской области покончил с собой после того, как по указанию неизвестных продал квартиру, переведя полученные средства злоумышленникам, и поджег военкомат. В декабре 2024 года 18-летний студент МФТИ Петр Ветчинкин совершил суицид после того, как у него сначала выманили взятые в кредит средства, а затем стали уговаривать совершить теракт. В феврале 2023 года 56-летнюю женщину из Зеленограда убедили отдать 2,6 млн рублей и набить себе татуировки со словами «ВОР» и «ГУР».
Петр Ветчинкин
Больше двух третей поджогов военкоматов и объектов инфраструктуры с начала СВО были совершены жертвами телефонных мошенников, а не мотивированными финансово или идейно диверсантами, следует из содержания приговоров по соответствующим статьям УК. Их пик пришелся на декабрь 2024 года.
Причина агрессивного поведения мошенников хорошо известна — свыше 90% таких звонков поступают с Украины, объяснял вице-президент Сбербанка Станислав Кузнецов. «Всего на Украине мы фиксируем 800–900 call-центров по всей территории», — рассказал он.
Важный инструмент в руках мошенников — утечки персональных данных. Их разнообразие позволяет злоумышленникам иметь не просто базовую информацию о жертвах (ФИО, контактная информация, возраст), но составлять подробные цифровые профили граждан, собирая данные о семейном положении, уровне доходов, хобби, покупательских паттернах, объясняют в аналитическом агентстве InfoWatch.
«Чем больше информации о человеке в мошеннических базах, тем проще злоумышленникам сформулировать возможные варианты обмана человека», — констатируют специалисты.
В 2024 году Россия вышла в лидеры по количеству утекших данных (457 млн строк), говорится в февральском отчете компании по кибербезопасности F6 (бывшая Group-IB). «Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения наибольшего ущерба компаниям и их клиентам», — указывают эксперты.
Поставщики незаконно полученных персональных данных граждан России в 90% случаев — украинские хакеры, объяснял «Известиям» автор Telegram-канала «Утечки информации» Ашот Оганесян.
«Тратить российское бабло на ВСУ»
По итогам 2024 года компания F6 выделила несколько хакерских группировок, заметных на рынке персональных данных граждан России. Важное место среди них занимает хактивистская группа CyberSec’s и ее лидер под псевдонимом Badb. Их излюбленная тактика — публикация данных российских компаний и призывы к дальнейшим атакам через подрядчиков, уточняют эксперты по кибербезопасности.
8 ноября 2024 года CyberSec’s заявила о взломе более 30 тыс. российских корпоративных серверов на платформе «Битрикс». Полученные базы данных злоумышленники активно публиковали в канале «BadB on the Base». С сентября по декабрь там были опубликованы 22 базы данных о гражданах России.
Исследование F6
С CyberSec’s, вероятно, связана группировка Shadow (также известная как Twelve, Comet и DARKSTAR), считают в F6. С февраля 2023 года по июль 2024 года специалисты по кибербезопасности зафиксировали 50 российских компаний, атакованных Shadow. Объявленные хакерами суммы выкупа варировались от 4,5 млн до 320 млн рублей, средний ценник — около 90 млн рублей (в BTC или XMR).
F6 называет Shadow «чисто антироссийским проектом»: за более чем год существования группировки не выявлено ни одной ее атаки за пределами Российской Федерации. В свою очередь лидер CyberSec’s под псевдонимом BadB с начала 2022 года не только публикует утечки данных из России, но и активно занимается политической пропагандой, уточняют исследователи.
Как убедились «Известия», BadB еще и поддерживает собственный сервис по пробиву россиян для украинских call-центров и спецслужб. Более того, киберпреступник признается в тесном сотрудничестве с ними и призывает к преступлениям против рядовых граждан России, включая детей. Например, он назначал вознаграждение в криптовалюте за нападения или расправы с членами семей летчиков дальней авиации: «Не удивляйтесь, если вашим ******** по дороги со школы свернут голову или поштрекают».
Недавно BadB отчитался о добавлении баз данных с несовершеннолетними россиянами и в свой сервис для call-центров. Публикацию он сопроводил призывом к мошенникам: «Работайте, братья!»
«Наш инструмент направлен в первую очередь на поиск детальной информации об индивидууме по сложным и зачастую неявным критериям», — пишет BadB. Например, есть функция, «горячо любимая call-центрами», которая «позволяет выбрать всех мужчин, проживающих, скажем, в Сыктывкаре, от 50 до 60 лет, которых зовут Василий». Хакер подстрекает call-центры прицельно атаковать жителей закрытых территориальных образований и моногородов вокруг оборонных предприятий и военных объектов.
«Мы можем найти членов семьи и связи между людьми. У нас можно найти личные данные, переписки, хэши паролей, мы не удаляем данные из баз, которые попадают к нам. Мы не удаляем данные русских ни при каких условиях. Для call-центров у нас разработаны API и гибкие тарифы. Однако для работы с инструментом нужно иметь достаточные знания и понимание логики работы с БД. Мы открыты к сотрудничеству и адаптируем инструмент под ваши потребности», — пишет BadB.
Он неоднократно публиковал объявления о покупке доступа к внутренней информации в российских корпорациях и госорганах. И утверждает, что его сервис целенаправленно собирает персональные данные россиян в привязке к финансовой информации. «Мы не будем ограничиваться лишь российскими базами, но готовы пойти дальше при условии, что мы идентифицируем российских граждан», — пишет BadB.
Он признается, что лично получает часть средств от мошеннических схем в отношении граждан России или выкупов после взломов: «Буду тратить российское бабло на ВСУ!»
Отдельно BadB выделяет свою помощь для 93-й отдельной механизированной бригады «Холодный Яр», которая считается элитным подразделением ВСУ. В своем блоге BadB передает отдельную благодарность боевиков бригады работникам call-центров, которые «принимали самое активное участие в сборах и задонатили значительные суммы». В 2023 году BadB утверждал, что во время своего визита на линию соприкосновения «кайфанул», «собственноручно» участвуя в убийстве российских военных.
«Продолжаем дальше финансово уничтожать, дестабилизировать и деморализовывать оккупантов, при этом обеспечивая не только себя, но и тех людей, которые стоят за нас. Всё как мы любим, в стиле CyberSec’s. Кому нужны грамоты, поддержка, обращайтесь» , — пишет BadB и напоминает про свой сервис для call-центров с «самыми актуальными базами данных».
Также BadB предлагает и помощь с программным обеспечением для работающих в России нарокоторговцев.
Многие бывшие коллеги по русскоязычному хакерскому сообществу, в том числе выходцы с Украины, резко осуждают BadB за его взгляды и действия. Сам он в свою очередь презрительно отзывается о пророссийских хакерах. По его мнению, у них нет выбора из-за преследований американских спецслужб по всему миру. С другой стороны, отсутствуют гарантии от репрессий правоохранительными органами РФ.
В ответ на публичную пророссийскую позицию он грозит преследованием за пределами РФ, адресными нападениями с привлечением криминала, дронами и уголовными делами с использованием коррумпированных сотрудников правоохранительных органов.
Реальное имя BadB хорошо известно отечественным специалистам по кибербезопасности. Однако большинство из них неохотно комментируют его активность: многие знакомы с ним лично.
Феерический мультипликатор
В интернете до сих пор можно найти созданный в начале нулевых анимационный ролик о русских кардерах под трек «Боби-Боба» с бессвязным текстом, имитирующим иностранную речь. Композиция получила тогда популярность благодаря патриотическому сериалу «Спецназ». В клипе гротескный персонаж — в тельняшке и ушанке с красной звездой — налаживает связи из холодной России со своим коллегой в солнечной Италии. Русский хакер отправляет ворованные данные банковских карт итальянцу, тот штампует поддельные кредитки и отоваривает их. Пока подельники радуются непыльному заработку, где-то за океаном граждане США падают в обморок, обнаруживая на своих счетах нулевые балансы. В конце ролика тогдашний американский президент Джордж Буш не находит ничего лучше, чем покончить с собой прямо в Овальном кабинете.
Ролик опубликовал один из создателей CarderPlanet — крупнейшего форума для киберпреступников нулевых. Площадка объединяла несколько тысяч человек, основным заработком которых было воровство данных банковских карт и их последующее обналичивание. Костяк сообщества составляли выходцы из стран бывшего Советского Союза и Восточной Европы. Ключевым инвестором сайта был будущий депутат Верховной рады от «Блока Петра Порошенко» Дмитрий Голубов, а дизайном сайта занимался будущий лидер правящей фракции «Слуга народа» Давид Арахамия.
В марте 2025 года, когда Telegram удалил канал CyberSec’s за нарушения правил платформы, лидер сообщества BadB создал новый — с характерным мультяшным персонажем на изображении профиля. Теперь вместо звезды на ушанке у небритого хакера кокарда с символом криптовалюты биткоин. Автор канала не скрывает, что он и есть известный под псевдонимом BadB ветеран киберпреступности Владислав Хорохорин — создатель того самого мультфильма для CarderPlanet. В этом легко убедиться.
Архивная копия удаленного канала CyberSec’s доступна на сервисе TGStat. Канал создан в феврале 2020 года и указан в качестве официального аккаунта на сайте CyberSec.org. Это домен одноименной компании, которая описывает себя как команда бывших хакеров, которые объединились, чтобы зарабатывать на услугах по защите данных «от предотвращения утечек до моментального реагирования на угрозы вашей кибербезопасности».
«В нашу компанию входит знаменитый юрист Аркадий Бух, который при необходимости придет на помощь и даст консультацию по любому правовому вопросу», — уточняется в описании.
В том же разделе размещены публикации о CyberSec на сайтах русской версии Forbes, CNN и Fortune. Из них следует, что компания была основана в 2015 году нью-йоркским адвокатом Аркадием Бухом. В 2010-е годы за ним закрепилась репутация главного защитника русских хакеров в судах США. Бух прослыл мастером заключения сделок с американскими спецслужбами. Суровая юстиция США угрожала задержанным многолетними сроками, но Бух предлагал своим клиентам минимальное наказание в обмен на сотрудничество с разными агентствами.
О создании CyberSec Бух объявил вместе с осужденными за киберпреступления Игорем Клоповым и Дмитрием Насковцом. Хорохорин стал третьим партнером, еще находясь в американской тюрьме. Сайт CyberSec.org до сих пор указан в соцсетях Буха в качестве актуального места работы.
В разделе «Контакты» на CyberSec.org среди прочих указаны личные аккаунты Хорохорина. Свою автобиографию он начинает с собственной характеристики из интервью 2018 года: «Фееричный неадекват (слово заменено на цензурное. — «Известия»). Был, есть и буду».
42-летний гражданин России, Украины и Израиля родился в Донецке. После распада Советского Союза он жил сначала с отцом в Воркуте, потом с матерью в Израиле. В 2010 году Хорохорина задержали в Ницце по запросу США в рамках расследования о CarderPlanet. Сначала он сопротивлялся экстрадиции, но в итоге признал вину и, как позже вспоминал сам Хорохорин, «сдал многих, но не всех». После освобождения в 2017 году власти США депортировали его в Израиль.
В 2018 году Хорохорин вернулся в Россию, чтобы найти самостоятельный заработок в легальном поле, но в итоге решил переехать на Украину. Отъезд он описывает так: «Симку я выкинул ровно после того, как выехал после пятичасового допроса на границе, выкинул вместе со смачными плевками и матом в сторону охранявших границу».
Вплоть до 2022 года Хорохорин охотно давал комментарии российским СМИ о своих исследованиях сайтов ФСБ и «Госуслуг». Теперь в описании его профиля в Telegram — девиз Главного управления разведки минобороны Украины: Sapiens dominabitur astris («Мудрый правит звездами»). С 2016 года ГУР использует эту фразу в пику девизу российской военной разведки «Выше нас только звезды».
Аркадий Бух, с которым связались «Известия», заявил, что понятия не имел об упоминании его имени на сайте, публикующем персональные данные россиян для мошенников. По словам Буха, его партнерство с Хорохориным закончилось несколько лет назад. «Он больше не является партнером в моей компании, я не являюсь партнером в его бизнесе, — говорит Бух. — Хорохорин оказался слишком креативным для нас, я бы так выразился. Я продал ему домен Cybersec.org. С тех пор мы иногда созваниваемся, может быть, раз в год. Я размещал через него рекламу своих услуг для наших потенциальных клиентов на соответствующих форумах».
Бух также сообщил «Известиям», что планирует очистить свои соцсети и интернет-сайт от упоминания Cybersec.org, чтобы не ассоциироваться с компанией Хорохорина. Комментировать дальнейшую судьбу своего бывшего клиента Бух не стал, сославшись на адвокатскую этику.
На вопрос о своих связях с американскими спецслужбами Бух ответил, что действует в первую очередь в интересах своих клиентов и всегда предлагает им выбор из трех вариантов: «Первый — это пойти в суд присяжных и доказывать свою невиновность. Такой вариант мы очень любим, потому что это большая работа для адвокатов, но и обойдется она дороже всего — до $1 млн. Второй — признать вину, но никого не сдавать. Все-таки многие гангстеры считают, что тогда есть шанс получить скидку. Например, не 50, а 15 лет. Третий вариант — предложить какому-то из агентств некий интересный проект и получить минимальный срок, часто уже проведенный в тюрьме до суда».
По словам Буха, человек может предложить создание сервиса для отмывания криптовалюты, чтобы с его помощью вычислить наркоторговцев и продавцов детской порнографии: «Я иду с этим в агентства и предлагаю: допустим, ФБР не интересно, ЦРУ тоже не интересно, а DEA интересно. Такие сделки засекречиваются. В публичных документах будет указано, что человек просто признал вину и получил скидку».
Преследовать могут даже США
В марте президент России Владимир Путин провел специальное совещание с правительством, основной темой которого стали комплексные меры по борьбе с телефонным и интернет-мошенничеством. «Ущерб для граждан, а значит, и для государства со стороны телефонных и интернет-мошенников приобрел просто недопустимые размеры, очень большие. Поэтому действовать нужно быстро», — призвал Владимир Путин.
В конце марта Госдума приняла обширный законопроект, который вводит почти 30 новых мер по противодействию телефонному мошенничеству. Среди них запрет госорганам, банкам и операторам связи использовать иностранные мессенджеры, обязательная маркировка звонков с отображением имени организации, запрет на передачу телефонного номера третьим лицам и возможность ограничивать выдачу наличных при подозрительных операциях.
По мнению Буха, телефонные мошенники с Украины, если явление носит настолько массовый характер, могут стать фигурантами расследований американских спецслужб.
— Как и любых других. Там, где есть тысячи потерпевших, всегда найдутся граждане США или американские компании, — говорит Бух, а это, по его словам, уже основания для американской юрисдикции. — В России тоже немало людей с гражданством США. Достаточно одного-двух потерпевших, которые пожалуются властям, а дальше может быть расследована вся схема.
По его мнению, на уровне политических переговоров России и США может быть поднят вопрос о преследовании мошенников. Обычно такого рода соглашения заключаются неформально, а затем выражаются в непубличных notes — внутренних документах федеральных ведомств, которые задают определенный вектор или приоритеты в расследованиях: террористы с Ближнего Востока, киберпреступность из Восточной Европы и так далее. Свой опыт и возможности преследования в других юрисдикциях есть и у МВД России, считает Бух.
Многие специалисты в сфере кибербезопасности в разговоре с «Известиями» заверили, что влияние Хорохорина на телефонное мошенничество и хакерские атаки преувеличено им самим в силу собственного тщеславия и желания заработать популярность внутри Украины.
— Если признания Хорохорина в сотрудничестве с call-центрами подтвердятся, это может стать основанием для возбуждения уголовных дел по статьям о мошенничестве и незаконном обороте данных, — считает руководитель компании «Интернет-розыск» Игорь Бедеров.
В открытом перечне разыскиваемых Россией лиц на сайте МВД Хорохорина нет, как и упоминаний о его заочном аресте в базах судов. Однако в своем канале он еще в 2023 году утверждал, что ему известно об обысках в квартирах связанных с ним людей.
