Сотрудник главного завода Tesla в Неваде отказался от вознаграждения в $1 млн за участие в кибератаке на предприятие. Вместо этого он стал сотрудничать с ФБР и предотвратил запланированную атаку, в организации которой подозревают россиянина Егора Крючкова. Минюст США задержал Крючкова 22 августа при попытке покинуть страну.
Кинематографичная история разворачивалась в штате Невада приблизительно с 15 июля по 22 августа этого года, как говорится в отчёте офицера ФБР из Лас-Вегаса. Название компании там обозначено только как «Victim Company A» («Пострадавшая компания А»), но Илон Маск уже подтвердил, что атака готовилась именно на завод Tesla в Неваде.
События начались еще до приезда Крючкова в США. 16 июля он написал в WhatsApp русскоговорящему сотруднику завода Gigafactory Nevada с просьбой о личной встрече. Они были знакомы с 2016 года, а номер телефона Крючков получил от их общего знакомого. В отчёте имя сотрудника не называется и обозначено как Confidential Human Source (CHS1) — Конфиденциальный источник. Сам же Крючков приехал в США 28 июля по своему российскому паспорту и туристической визе. Отель и машину он забронировал на своё имя и расплачивался личной кредиткой.
Крючков встречался с CHS1 несколько раз начиная с 1 августа, но речи о планируемом взломе тогда ещё не шло. Например, они вместе с несколькими сотрудниками Tesla ездили отдыхать на озеро Тахо, на границе Калифорнии и Невады. Крючков настаивал, что возьмёт на себя все расходы группы во время поездки и в то же время отказывался от любых групповых фотографий. Об этом CHS1 позднее рассказал сотрудникам ФБР.
После возвращения с озера Крючков договорился вечером 3 августа встретиться с CHS1. Они пошли в бар, где Крючков и рассказал приятелю истинную причину своего приезда в Штаты. Он сообщил, что работает в некой «группе», которая занимается «спецпроектами» и что они платят сотрудникам крупных компаний, помогающим им внедрить ПО в компьютерную систему. Крючков похвастался несколькими удачными «проектами», все из которых были организованы по этой схеме. Среди них был выкуп в $4 млн от «известной компании».
Более поздние отчёты показали, что речь идёт о компании CWT Travel, которая подверглась атаке в конце июля. Хакеры тогда получили доступ к 30000 компьютеров, украли конфиденциальные данные и требовали $10 млн за их возврат. CWT решила, что заплатить будет проще, чем терять клиентов и тратиться на судебные иски, но, сославшись на финансовые трудности из-за пандемии, уменьшила сумму выкупа до $4,5 млн, которые и получили хакеры.
Крючков предложил сотруднику завода $500 тыс. наличными или биткойнами за участие в атаке на его работодателя. Предполагалось, что все будет выглядеть так:
- «Группа» предоставляет сотруднику вредоносное ПО на флешке или ссылкой в электронном письме (на выбор самого сотрудника).
- Далее имитируется DDoS-атака, скрывающая реальное похищение данных из системы.
- Похитители требуют выкуп.
- Tesla платит кибермошенникам.
Кроме того, сотруднику нужно было предварительно передать «группе» информацию о сети, авторизациях и сетевых процедурах — так можно было продуманнее спланировать кибератаку.
Крючков попросил сотрудника Tesla оперативно ответить на предложение и заверил, что никто в компании не сможет связать атаку с конкретным сотрудником. Заметив, что CHS1 сомневается, Крючков предложил ему доплату, размер которой нужно будет обсудить с «группой».
Фото: Jay Bouchard
Следующая их встреча состоялась вечером 7 августа, на заправке в городе Рино. К тому моменту спецагенты ФБР уже знали от CHS1 о готовящейся атаке, поэтому встречу записывали.
Во время неё вербуемый сотрудник завода запросил за свое участие $1 млн вместо предложенных $500 тыс и предоплату в $50 тыс до начала операции. Крючков отнёсся к просьбе с пониманием, но сказал, что ему придётся согласовать это с «группой». Он сообщил, что ему самому платят $500 тыс за привлечение CHS1 к атаке, но он готов пожертвовать частью собственного гонорара, чтобы сотрудничество состоялось. Следующую встречу они назначили на 17 августа.
В этот день они встретились в ресторане всё в том же Рино. Тогда же состоялся их телефонный разговор с ещё одним участником готовящейся атаки. В отчёте нет его имени или фамилии, он значится просто как LNU (Last Name Unknown — Неизвестное лицо). В разговоре Крючков, LNU и CHS1 обсуждали в основном финансы: способы внесения предоплаты, использование «дропов» (посредников), дальнейшее обналичивание биткойнов и прочее. LNU заверил, что, несмотря на то что раньше команда никому не платила заранее, проблем с этим не будет.
Во время разговора Крючков упоминал (не по имени) ещё одного члена «группы», который специализируется на шифровании и при этом является высокопоставленным сотрудником одного из российских госбанков. Именно он должен был гарантировать, что после атаки никто не свяжет её с CHS1.
Источник: teslarati.com
Однако проблемы с авансом всё-таки возникли — «группа» не захотела платить заранее. Крючков встретился с сотрудником Gigafactory 18 августа и предложил вместо аванса записать видео, где бы он документально подтвердил своё согласие на выплату CHS1 $1 млн за участие в кибератаке. Также он заявил, что, поскольку «группа» согласилась заплатить CHS1 $1 млн, то платёж самого Крючкова уменьшился до $250 тыс. Но CHS1 всё-таки настаивал на авансе, и вечером 19 августа Крючков сообщил ему, что «группа» готова выплатить $11 тыс предоплаты. Они договорились обсудить окончательные детали на следующей встрече.
Переговоры подходили к концу, и Крючков сообщил CHS1, что на днях покидает Рино, едет в Лос-Анджелес и оттуда возвращается в Россию. Он пообещал, что если всё пройдёт успешно, то он вернётся в штаты в ноябре и готов будет помочь CHS1 в обналичивании биткойнов.
На встрече, прошедшей 21 августа, Крючков сказал, что операция временно откладывается, но аванс всё равно придёт в течение нескольких дней. Дело, по словам Крючкова, было в том, что параллельно «группа» работала над другим «проектом», который был уже в завершающей стадии, и всё внимание команды было на нём. До особых распоряжений россиянин попросил CHS1 не предпринимать никаких действий. Во время этой встречи Крючков с личного телефона позвонил некоему «Саше Скоробогатову» и перевёл телефон на громкую связь: Крючков сообщил ему, что передал CHS1 специально подготовленный телефон, инструкции по его использованию и план коммуникации.
Этой же ночью Крючков покинул Рино и отправился в Лос-Анджелес, откуда должен был вылететь в Россию. Но 22 августа его задержали и до суда поместили под стражу. Ему может грозить до 10 лет тюрьмы за мошенничество и участие в кибератаках. Российское посольство в Вашингтоне в курсе и пообещало оказать россиянину необходимую помощь.