Miljons inficētu datoru un zaudējumi 72 miljonu dolāru apmērā – tāda ir bilance FIB atklātam datorpirātu astoņkājim, kura taustekļi iesniedzas Rēzeknē, Dārzu ielā 21. Tur reģistrēta firma, kas tirgoja gaļu un savulaik izgaismojās «Rēzeknes burtnīciņu» politiskajā skandālā, lai gan patiesībā uztur datortīklus – IT drošības speciālisti jau pērn to nosauca par kriminālas krāpniecības perēkli
Klusie putni vai nekaunīgi interneta blēži? Kas patiesībā ir rēzeknietis Pēteris Šahurovs (22) un viņa sieva Marina Maslobojeva (23), atbildēs izmeklēšana un ASV tiesa. Pašlaik viņi tiek apsūdzēti par Latvijas vēsturē vērienīgāko interneta krāpšanu, kas faktiski notikusi gan ASV, gan Eiropā. Vietējie tiesībsargi par lietu izsakās skopi, jo kriminālprocesa virzītājs ir ASV Federālās izmeklēšanas birojs, pēc kura tiesiskās palīdzības lūguma Rēzeknē konfiscēti datori un arestēti vismaz pieci bankas konti, caur kuriem veikti izkrāptās naudas pārskaitījumi. Tagad rit birokrātiskais process, lai pieprasītu abu jauniešu izdošanu – viņiem Amerikā draud tiesa saistībā ar divām datorkrāpšanas apsūdzībām, par ko var nākties 20 gadus sēdēt aiz restēm un samaksāt 250 tūkstošu dolāru sodu.
Latvijā ziņas par šo krāpniecību pēkšņi kā sniegs uz galvas uzkrita Jāņu laikā, taču stāstam ir daudz senāka vēsture. FIB izmeklētāji jau trīs gadus dzinuši pēdas, un eksperti ir pārliecināti, ka līdz ar rēzekniešu arestu neitralizēts smalki izplānots starptautiskās organizētās kibernoziedzības tīkls.
Paralēlās pasaules
Pērnā gada martā, kad Latvijas IT drošības speciālisti saņēma pirmās ziņas par aizdomīgām darbībām latgaliešu uzturētos serveros, Rēzeknes 4.vidusskolā tika lemts par Pētera Šahurova atskaitīšanu.
«Mācījās viņš viduvēji, desmit ballu sistēmā uz četri un pieci,» man stāsta Šahurova klases audzinātāja Ilona Hižņaka, tūlīt gan piebilstot, ka atzīmes ne vienmēr atspoguļo skolēna spējas un erudīciju. Tā tas bijis arī Šahurova gadījumā – neesot ko brīnīties, jo puisis uz skolu nācis reti. Tāpēc arī atskaitīts, un viņu neatrast 12.a klases izlaiduma fotogrāfijā, kas rotā skolas sienu.
Ne īpaši naudīgs, ne arī nabadzīgs, savrups, taču korekts un pieklājīgs – tā Šahurovu raksturo bijušie pedagogi. Pilnīgi citādu raksturojumu Pēterim, precīzāk – kompānijas Sagade Ltd. operatoram «piterok89», un viņa apkalpotajiem serveriem sniedz IT drošības eksperti – nekaunīgi, pašpārliecināti un bīstami kibernoziedznieki, kas apzināti piedrazo virtuālo vidi un izkrāpj naudu. To, ka aiz «piterok89» (lietotājvārds atgādina vārda un dzimšanas gada kombināciju) tiešām slēpjas Pēteris, tiesībsargiem vēl būs jāpierāda, bet par Sagade Ltd. nav šaubu – tas ir Šahurovu ģimenes uzņēmums SIA Sagāde. Tagad firma pieder Pētera tēvam Jurim, bet savulaik to vadījis vectēvs, jau pirms vairākiem gadiem mūžībā aizgājušais Pēteris Šahurovs. Šis nav pirmais gadījums, kad Šahurovu ģimenes uzņēmums nonāk tiesībsargu un publikas uzmanības lokā. Daļas šajā firmā agrāk piederēja arī Rēzeknes gaļas kombināta direktoram, Jaunā laika pārstāvim Guntim Piteronokam, ap kuru pirms 9.Saeimas vēlēšanām savērpās skandāls par nelikumīgiem pārskaitījumiem partijai, un arī Sagāde figurēja viņa maksājumu pierakstos jeb «Rēzeknes burtnīciņās». Pēc vecā īpašnieka Pētera Šahurova nāves Piteronoks gan daļas pārdevis un, tagad sazvanīts, ir pārsteigts, ka gaļas veikala aizsegā uzņēmums nodarbojies ar krāpniecisku datortīklu uzturēšanu.
Spameru lielvalsts
Necilā Latvija pērn negaidīti kļuva par asu dadzi interneta drošības speciālistu acīs kā spama jeb mēstuļu lielvalsts. Šveicē strādājošā respektablā, mēstules aktīvi apkarojošā britu uzņēmuma The Spamhaus Project vēsturē pirmo reizi melnajā sarakstā tika iekļauts kāds Latvijas interneta pakalpojumu sniedzējs – kompānija Microlines.LV. Šī firma ar interneta pieslēgumiem apgādāja trešo daļu rēzekniešu, kā arī piedāvāja savus pakalpojumus citās Latgales pilsētās.
Tajā pašā laikā interneta drošības speciālistu forumos tika izcelts vēl viens Latvijas interneta pakalpojumu sniedzējs – SIA IZZI. Piemēram, starptautiskais interneta drošības konsultantu uzņēmums Malware Intelligence savā ziņojumā par laika posmu no pērnā gada marta līdz jūnijam norāda: «BKCNET SIA IZZI ir kriminālu un krāpniecisku aktivitāšu perēklis, kuru vada krimināli elementi», kas balstās uz krāpniecisko darbību analīzi, kas veiktas «no klonētām IP adresēm, kuras piesedz jau minētais interneta pakalpojumu sniedzējs, kas zināms arī kā Atech-Sagade». Arī citās specializētās lapās, kas veltītas interneta drošības tematikai, Atech-Sagade vai Sagade Ltd. domēni un apkalpotās vai uzturētās IP adreses minētas pie bīstamākajām un raksturotas kā «organizētās noziedzības» vajadzībām kalpojošas.
IZZI vārdu pamanījusi kāda atzinīgi vērtēta ekspertu kopa – ToorCorn, kura pērn, pētot krāpnieciskas darbības Facebook vietnē, atklāja, ka caur lapā iekopētajām interneta adresēm ik dienu tiek izplatītas vidēji 890 mēstules, bet aptuveni 30 no saitēm noved uz krāpnieku lapām. «Mūsu eksperiments parādīja, ka ir tādas valstis kā Latvija, Paragvaja un Maroka, kuru lapas pārsvarā piedāvā krāpniecisku saturu, tāpat atrodami autonomie sistēmas numuri, piemēram, AS6851 & BKCNET SIA IZZI & LV, kurā atrodams tikai un vienīgi krāpniecisks saturs,» rakstīja ToorCorn.
Kas gan vieno nežēlastībā pēkšņi kritušos interneta pakalpojumu sniedzējus Microlines un IZZI ar Rēzeknes jaunieti Šahurovu? Sakars ir vistiešākais – atslēgas vārds ir jau minētais Sagade Ltd. jeb latviskojot SIA Sagāde.
Rēzeknē, Dārzu ielā 21, reģistrēto uzņēmumu Latvijas un ārvalstu IT drošības speciālisti pazina kā vienu no nekaunīgākajiem krāpnieklapu un datoru inficētāju operatoriem. Neoficiāli zināms, ka uzņēmums apkalpoja vairākus datortīklus, kuri saskaņā ar izmeklēšanas datiem izplatīja tā saukto «ļaunatūru» jeb, vienkārši runājot, dažādu kalibru datorvīrusus. Šis uzņēmums slēdzis serveru izvietošanas līgumu ar Microlines, bet uzņēmuma elektronisko sakaru pakalpojumus nodrošināja IZZI Grupas uzņēmums A Technologies. Abas kompānijas no rēzekniešu kriminālajām darbībām kategoriski norobežojas un norāda – pēc tam, kad no policijas saņemta informācija par kriminālajām darbībām tīklā, līgumi ar firmu lauzti, bet iepriekš tam nebija juridiska pamata. Konfidencialitātes nosacījumi līgumos liedz izpaust, ar ko tie slēgti, taču var noprast, ka tas bijis Pētera tēvs, firmas vadītājs Juris Šahurovs.
Latvijas IT drošības speciālisti pirmās ziņas par aizdomīgām darbībām rēzekniešu uzturētajos serveros saņēma pērnā gada martā. Tās pienāca no ASV bāzētās datordrošības organizācijas CERT (Computer Emergency Response Team) vienībām ārvalstīs. «Mums ziņoja, ka no Latvijas IP adresēm notiek ļaundabīga koda izplatīšana. Vairākkārtīgi sazinājāmies gan ar interneta pakalpojumu sniedzējiem, gan gala lietotājiem un sapratām, ka tīkls ir kaitniecisks un tā uzturētāji ar vīrusu izplatīšanu nodarbojas apzināti,» atminas Baiba Kaškina, kas vada Informācijas tehnoloģiju drošības incidentu novēršanas institūciju (CERT.LV).
Sīkāk aizdomīgo mēstuļotāju tīklu izpētīt tika uzdots ekspertam Gintam Mālkalnietim. «Mēs sarakstījāmies,» ironiski smaidot viņš saka, atceroties, ka rēzeknieši viņam pat pāris reižu atsūtījuši paskaidrojumus. «Viņš (Pēteris Šahurovs – red.) taisnojās, ka vainīgi ir lietotāji, kas serverī izvietojuši inficētus failus, «vainīgo» serveri aizvēra un pārcēla kaitnieciskās programmas uz nākamo IP adresi,» stāsta Mālkalnietis. Krāpnieki izmantojuši ļoti plašu IP adrešu kopu, un viņu lietotā programmatūra ļāvusi veidot vairākus desmitus virtuālo serveru viena reālā servera ietvaros.
Krāpnieku «operatori»
Sistēma, ko lietoja interneta krāpnieku grupa, par kuras daļu FIB uzskata arī rēzekniešus, bija sarežģīta un viltīgi sacilpota, lai patiesā labuma guvējus izskaitļot nebūtu viegli. Ne velti FIB norāda, ka nozieguma izmeklēšanā piedalījušies 11 valstu tiesībsargi – Kipras, Vācijas, Latvijas, Ukrainas, Lietuvas, Francijas, Nīderlandes, Zviedrijas, Lielbritānijas, Rumānijas un Kanādas.
Tieši rēzekniešu darbība koncentrējusies divos galvenajos virzienos – vīrusus saturošu reklāmas baneru, videoklipu un interneta adrešu izvietošanā, kā arī serveru uzturēšanā, kur tika izvietotas krāpnieklapas.
Visskaļāk izskanējusi tā sauktā viltus reklāmas aģentūras epizode, kad fiktīva uzņēmuma aizsegā dažādās legālās interneta vietnēs tika izvietoti it kā parasti reklāmas baneri, kurus atverot, lietotāja datorā ieperinās scareware jeb biedēšanas programma. «Tās ir programmas, kuras, piemēram, var noslēpt vai iesaldēt visus datorā esošos failus un tad pieprasīt, lai lietotājs iegādājas konkrētu antivīrusa programmu, kura tikai imitē darbību. Realitātē tā vai nu neizdara neko, vai pārņem datoru, to iekļaujot botnetā,» skaidro Mālkalnietis. Minot konkrētus piemērus, viņš rāda dažādus viltus antivīrusa programmu paraugus, kas bijuši arī rēzekniešu «piedāvājumā».
Kā stāsta drošības speciālisti, uz viltus antivīrusa programmām varēja uzķerties ne tikai FIB publiskotajā ASV laikraksta Star Tribune mājaslapā, bet arī sociālajos tīklos Twitter, Facebook un pat Torrent serveros. «Šai interneta krāpnieku grupai Latvijas serveri nebija vienīgie, bet viņi bija aktīvi un uzturēja, piemēram, viltus lapas ar torentiem, kas piedāvāja lejuplādēt jaunākās filmas, bet tad, kad fails tika atvērts, vīruss inficēja datoru,» saka Mālkalnietis. Viņš atceras, ka arī YouTube videoklipi ne reizi vien izmantoti kā slēptuve jaudīgai vīrusa programmai: «Jūs atverat videoklipu, bet tas piedāvā lejupielādēt Adobe Flash Player atjauninājumu. Izskatās tieši tāds pats kā legālais produkts, tikai trūkst vienas podziņas, kuru lietotājs, visticamāk, nepamanīs.» Rezultāts allaž ir viens un tas pats – datorā ieperinās vīruss un pieprasa maksu no 70 līdz 120 dolāriem par datora «izārstēšanu».
Otrs rēzekniešu darbības virziens bija krāpniecisko mājaslapu un serveru uzturēšana. Zīmīgi, ka rēzekniešu klonētajos serveros bija jaunākās paaudzes datorvīrusi, kuri spēj nemanāmi apiet faktiski jebkuru standarta antivīrusu programmu. «Tie veidoti tā, lai labi slēptos un labi izplatītos, nenododot pašu izplatītāju,» šo programmatūru raksturo Baiba Kaškina. Pieredzējusī IT drošības eksperte norāda, ka viltus antivīrusa «pārdevēja» iekļūšana datorā ir vēl tikai puse no problēmas. Daudz nopietnākas ir sekas, ja dators tiek pārņemts pilnībā un iekļauts botnetā jeb noziedzīgiem mērķiem izmantoto datoru tīklā – izpilda datorpirātu pavēles, piemēram, nokopē bankas informāciju, kuru lietotājs ievadījis, veicot maksājumus internetbankā, vai arī nosūta miljoniem mēstuļu, pašam lietotājam par to nemaz nezinot.
Personas, kuru specializācija ir līdzīga rēzekniešu darbībām, IT drošības speciālistu un hakeru vidē sauc par operatoriem – cilvēkiem, kuri nodrošina krāpnieciskā tīkla loģistiku un kuriem nepavisam nav jāspēj uzrakstīt sarežģītas vīrusu programmas. Visticamāk, arī vidusskolu nebeigušais Pēteris nespētu uzrakstīt tādas programmas, kādas izplatīja viņa uzturētie tīkli.
«Arī kibernoziedzniekiem ir katram sava specializācija – viens raksta vīrusu programmas, cits uztaisa programmas dizainu, vēl citi atmazgā naudu, ir arī tādi, kas apkalpo krāpnieku serverus, un tādi, kas diriģē botnetu, vēl kāds strādā ar botneta sagādāto informāciju un cenšas uzlauzt internetbankas, bet kāds visu koordinē un saņem lielāko peļņas procentu.
Viņiem visiem noteikti nav jābūt pazīstamiem,» šo noziedzīgo vidi raksturo kāds pieredzējis IT drošības speciālists. Ar apmierinošām angļu un krievu valodas zināšanām, kā arī izmantojot sakarus hakeru vidē, internetā var nopirkt jebkuru programmatūru, un tad atliek tikai to prātīgi izmantot, vai, kā tas varētu būt rēzekniešu gadījumā, iekļauties jau esošā krāpnieku grupā. Jautāts, vai ir iespējams, ka operators pats nenojauš par krāpnieciskajām darbībām, eksperts atbild ar retorisku pretjautājumu: «Vai jūs piekristu bez atlīdzības apstaigāt visas kaimiņienes un pārdot viņām reāli kaitīgas tievēšanas zāles?»
Policija guļ?
Kāpēc tad Latvijas tiesībsargi jau agrāk nereaģēja, uzzinot, cik ilgi un vērienīgi darbojās rēzekniešu uzturētie datortīkli – vīrusu izplatītāji? IT drošības eksperti no CERT.LV komandas ir diplomātiski: «Mūsu vienībai nav likumisku tiesību kādu aizturēt vai izņemt aparatūru. Mēs saņemam ziņojumu, izanalizējam situāciju un sniedzam informāciju policijai,» paskaidro Baiba Kaškina. Ziņots arī par aizdomīgajām rēzekniešu darbībām.
Valsts policijas preses centrā nekādas ziņas par CERT sniegto ziņojumu «likteni» sniegt nevar. Tieslietu un iekšlietu ministrs Aigars Štokenbergs sola iepazīties ar situāciju un pēc tam sniegt vērtējumu.
Arī par FIB veikto izmeklēšanu, kurā konstatēts, ka no krāpniekiem cietuši vismaz 960 tūkstoši lietotāju un kopējā zaudējumu summa sasniedz 72 miljonus dolāru, bet tieši rēzekniešiem tiek inkriminēts kaitējums divu miljonu apmērā, Latvijas policija nerunā, jo «to var darīt tikai procesa virzītājs», man paskaidro Valsts policijas sabiedrisko attiecību daļā. Ģenerālprokuratūra norāda, ka 16.jūnijā caur Ārlietu ministriju saņemta pirmsizdošanas lūguma informācija, taču joprojām tiek gaidīta pilna izdošanas pakete, pēc tam tiks lemts par izdošanas pieļaujamību.
Tikmēr paši Šahurovi no medijiem izvairās. Saskaņā ar ASV izdoto pirmisizdošanas lūgumu aizturētajiem Pēterim un Marinai tika piemērots drošības līdzeklis – uzturēšanās dzīvesvietā. Taču dzīvesvietā – masīvā dzeltenu ķieģeļu privātmājā ar šaujamlūkām līdzīgajiem logiem un augstu metāla žogu – sastapt viņus nav iespējams. Uz tumši krāsotām koka durvīm vīd specvienības atstāto laužņu pēdas, bet aiz sētas nikni rej divi vilku sugas jaukteņi, kuriem no mājas iekšpuses piebalso vēl trešā suņa balss. Pētera māti Olgu sastopu pie mājas vārtiņiem. Fotografēties viņa nevēlas, arī par notikušo runā nelabprāt. «Ar bērniem varēs sazināties, kad viņi atlabs. Bērnu interesēs es neko nestāstīšu,» saka blondā, pēc skata 45 gadus vecā sieviete.
Sastopami tikai internetā
Kurš pieskata aizturētos, un kur viņi patiesībā atrodas? To uzzināt nemaz nav tik vienkārši. Kā man paskaidro Valsts policijas Rēzeknes iecirknī, nekādi lūgumi vai rīkojumi no Rīgas – nedz policijas, nedz prokuratūras – par to, ka jāuzrauga, vai abi jaunieši uzturas norādītajā dzīvesvietā, nav saņemti. Izrādās, par to, kur šobrīd atrodas abi aizturētie, tā īsti neatbild nedz Ģenerālprokuratūra, nedz arī Valsts policija Rīgā. Ģenerālprokuratūra norāda, ka «drošības līdzekļa izpilde, visticamāk, jāuzrauga policijai», bet Valsts policijas preses dienests skaidro, ka šāda veida drošības līdzeklis neprasot pastiprinātu policijas kontroli. Līdz ar to nav skaidrs, no kā prasīt atbildību, ja abi jaunieši pēkšņi nozustu.
Laikrakstam Diena Olga Šahurova teikusi, ka abi aizturētie atrodas «Daugavpils neirožu klīnikā». Kāds pieredzējis izmeklētājs man stāstīja, ka ne reizi vien aizturētajiem lietas izmeklēšanas gaitā iestājas nervu sabrukums un ārstēt to visi kā viens vēlas tieši Daugavpils psihoneiroloģiskajā slimnīcā. Agrā pirmdienas pēcpusdienā pie slimnīcas pirmais pamanāms spilgti dzeltens jaunākā modeļa Hummer džips. Administrācijas telpās – masīvas cēlkoka mēbeles, gleznas. Nekādas ziņas personāls nesniedz. «Vienīgā persona» – valdes priekšsēdētāja Olga Sokolova, kura varot sniegt informāciju, darba vietā neatrodas, un «sazvanīt šādos jautājumos viņu nevar».
Neizdodas sadzīt arī Pētera tēva Jura, firmas Sagāde likumīgā īpašnieka, pēdas. Kad Olgai Šahurovai pajautāju, kā varētu sastapt viņas dzīvesbiedru un uzzināt ko vairāk par viņa firmu, sieviete ātri apcērtas un, neizdvešot ne vārda, pazūd dzelteno ķieģeļu cietoksnī. Bijušais ģimenes biznesa partneris Piteronoks sakās nezinām Šahurova tālruņa numuru, bet apkārtējo māju kaimiņi vaļsirdīgi atzīst, ka pēc vecā Šahurova nāves ar viņa dēlu pat sveicināties sanākot reti.
Iespējams, nenotveramo Juri Šahurovu izdosies atrast vismaz Rēzeknes policijai, kurai pēc rīdzinieku veiktās kratīšanas Šahurovu dzīvesvietā tagad ir jāizmeklē šķietami sīkāks noziegums – seifā starp dokumentiem atrasto nereģistrēto patronu glabāšana.
Nesekmīgi izrādās arī zvani uz firmas telefoniem un juridiskās adreses apmeklēšana apskretušā padomju laika daudzstāvenē Rēzeknes centrā. Firmas pārstāvju nav arī šeit. Agrāk uzņēmums saimniekojis mājas pirmajā stāvā esošajā gaļas veikalā. Par to vēl tagad liecina pavirši noskrāpētais firmas nosaukums virs gadiem nemainīgā veikala darba laika. Taču tagad veikalam ir citi nomnieki, un plauktos virs vitrīnām ar Rēzeknes gaļas kombināta kauliņiem un žāvējumiem sarindotas kafijas, tējas un cepumi. Jaunā veikala vadītāja stāsta, ka telpas īrējot jau divus gadus un ar firmu Sagāde jeb, precīzāk, Juri Šahurovu viņu saista vien rēķins, kuru vīrietis izrakstot divas reizes gadā. Telefona numura vai biroja Sagādei neesot. Droši vien tādus pašu paskaidrojumu saņēma arī specvienība, kas operācijas laikā Rēzeknē veica kratīšanu arī veikalā, pārsteidzot tā tagadējos saimniekus.
Protams, ir kāda vieta, kur SIA Sagāde ir atrodama joprojām. Šī vieta ir internets. Vēl šodien ikviens interesents var atrast virkni tīmekļa lapu, kurās kā uzturētājs norādīta tieši kompānija Sagade Ltd. no Rēzeknes, Dārzu ielas 21. Atvērt tās un apskatīt gan neiesaka neviens no manis intervētajiem IT drošības speciālistiem – tas var izrādīties liktenīgs klikšķis, ar kuru dators nemanāmi kļūs par daļu no krāpnieciskā tīkla.
Interneta krāpniecības ķēde
1. Vīrusu programmas. Ļaundari izveido programmas, kas «iesaldē» un paslēpj datorā esošos failus, kā arī viltus «antivīrusus», kas it kā risina šo problēmu, bet patiesībā var pārņemt datoru un iekļaut to botnetā jeb noziedznieku kontrolētā datortīklā
2. Bīstamās reklāmas. Legālās mājaslapās datorpirāti izvieto it kā parastus reklāmas banerus, taču uz tiem klikšķinot tiek iedarbinātas vīrusu programmas, kas «iesaldē» datoru un pēc tam piedāvā nopirkt «antivīrusu».
3. Bīstamās mājaslapas/videoklipi. Sociālās saziņas tīklos tiek izvietota mājaslapas adrese, solot interesantu video, bet patiesībā, noklikšķinot uz saites, tiek iedarbināta vīrusu programma, kas pieprasa atjaunināt kādu no spēlētājprogrammām. Ja tas tiek darīts, iedarbojas datoru «iesaldējošais» vīruss.
4. Krāpnieku serveri. Datorpirātu tīklā iesaistītās firmas nodrošina krāpnieku mājaslapu un serveru uzturēšanu, no kuriem tiek rīkoti vīrusu uzbrukumi
5. Naudas atmazgāšana. Daļa noziedzīgās ķēdes firmu nodarbojas ar izkrāptās naudas legalizēšanu.
Rēzeknieši ir saistīti ar trim ķēdes vidējiem posmiem
No noziedzīgā grupējuma cietuši vismaz 960 tūkstoši lietotāju. Zaudējumi – 72 miljoni dolāru
Padomi drošībai
Kā atpazīt krāpniekprogrammu un pasargāt datoru
1. Regulāri atjaunot legālas antivīrusa programmas, par kuru izcelsmi nav šaubu. Neviena oficiāla programma datoru patvaļīgi neiesaldēs un kā vienīgo risinājumu nepiedāvās savas programmatūras iegādi.
2. Neatvērt aizdomīgus e-pastus un to pielikumus, nelietot programmas, ko internetā piedāvā uzstādīt bez jūsu pieprasījuma, sociālajos tīklos nelietot saites, kas pienāk no nezināmiem sūtītājiem, neievietot datorā svešas zibatmiņas.
3. Internetā maksājumus veikt tikai tad, ja pārbaudīta lapas drošība, vismaz – vai adrese sākas ar https:
