В Таиланде арестовали «всемирно известного» российского хакера по запросу США. Предположительно, это сотрудник ГРУ Алексей Лукашев

Тайская киберполиция сообщила об аресте на Пхукете 35-летнего гражданина России, которого американские власти разыскивают по обвинению в хакерских атаках на государственные структуры Европы и США. Его задержали в результате совместной операции с ФБР, которое передало Таиланду информацию о том, что подозреваемый въехал в королевство 30 октября и поселился в одном из отелей округа Таланг.

По данным Управления по расследованию преступлений в сфере технологий (CCIB), речь идет о «всемирно известном» хакере, ранее взламывавшем защищенные системы и проводившем атаки на различные госучреждения. Тайские власти подчеркнули, что арест был проведен именно по запросу об экстрадиции в рамках закона 2008 года, без использования административных механизмов вроде аннулирования визы.

Издание «Вот Так» обратило внимание, что среди официально разыскиваемых ФБР хакеров ГРУ только один совпадает по возрасту с указанным тайской киберполицией (35 лет) — это Алексей Лукашев.

Согласно карточке розыска ФБР, Алексей Викторович Лукашев, старший лейтенант Главного разведывательного управления Генерального штаба ВС РФ, приписанный к воинской части 26165, разыскивается американскими властями по подозрению в причастности к вмешательству в президентские выборы США 2016 года. По данным ФБР, 34-летний уроженец Мурманской области был одним из двенадцати офицеров российской военной разведки, обвиненных в организации кибератак на компьютеры, принадлежащие американским политическим организациям и избирательным комиссиям штатов, в краже документов и распространении украденных материалов. Лукашев, также известный под псевдонимами Den Katenberg и Yuliana Martynova, обвиняется в преступном сговоре с целью взлома компьютеров, краже личных данных при отягчающих обстоятельствах, мошенническом присвоении доменного имени и легализации денег. Федеральный суд США по округу Колумбия в 2018 году выдал ордер на его арест.

Операцию провели сотрудники CCIB совместно с иммиграционной службой, туристической полицией, прокуратурой и местными подразделениями. При обыске номера были изъяты ноутбуки, телефоны и «цифровые кошельки» для последующей экспертизы. Представители ФБР присутствовали при задержании в качестве наблюдателей.

Параллельно киберполиция сообщила, что в рамках той же операции — Operation 293 — следователям удалось выявить и изъять цифровые активы, которые подозреваемый успел вывести на связанные с ним криптокошельки. По данным CCIB, жертвы в Таиланде лишались средств после заражения их компьютеров вредоносным ПО, похищавшим ключи аутентификации и seed-фразы для входа в торговые аккаунты. После этого активы переводились в USDT и биткоины и распределялись по нескольким кошелькам. В сотрудничестве с Tether и тайской биржей Bitkub власти заморозили и вернули потерпевшим криптовалюту на сумму более 14 млн батов (около $432 тысяч). Всего полиция установила как минимум шесть тайских жертв, чьи совокупные потери превышали 100 тысяч USDT. После задержания на Пхукете подозреваемого поместили под стражу. Его дело передано в офис генерального прокурора Таиланда, который должен инициировать экстрадиционную процедуру. Имя фигуранта власти не раскрывают, ссылаясь на продолжающееся расследование.

Хакерская группа, в которой работал Лукашев, известна как APT28, Fance Bear, или Pawn Storm. В 2017 году The Insider удалось доказать, что эта группировка состоит из сотрудников войсковой части 26165 ГРУ. Через год эти данные подтвердил Минюст США, официально выдвинув обвинения группе хакеров. Самой известной операцией APT28/Fancy Bear стал взлом серверов Демократической партии в 2016 году, призванный помочь Дональду Трампу победить Хиллари Клинтон на президентских выборах. Тогда Трамп не скрывал, что в своих политических целях пользуется информацией, полученной из взлома, и призывал российских хакеров выложить больше писем Хиллари Клинтон. Среди остальных кибератак APT28 можно отметить Белый дом (и другие цели в США), МИД Чехии, Польши, Германии, Италии, Латвии, Эстонии, Украины, Норвегии, Нидерландов и других стран, Минобороны Дании, Италии и Германии, Бундестаг, НАТО, ОБСЕ, МОК, WADA, следственную группу по делу о сбитом Боинге MH17, ряд редакций иностранных СМИ (в том числе TV5Monde и «Аль-Джазира»). Эта же группа хакеров атаковала десятки российских оппозиционеров и членов НКО и журналистов, в том числе и сотрудников The Insider, что независимо друг от друга подтвердили четыре компании, работающие в области информационной безопасности.

Как правило, Fancy Bear действовали достаточно примитивно — массово рассылая фишинговые письма в ожидании, когда найдется кто-то достаточно невнимательный, чтобы кликнуть на ссылку и выдать свой пароль. Чаще всего главной задачей Fancy Bear было получение доступа к информации, которая затем использовалась в политических целях. Например, полученные документы зачастую видоизменялись, к ним добавлялась какая-то компрометирующая информация, после чего это выкладывалось на различных сайтах, принадлежащих неким прокремлевским «активистам», а затем пиарилось кремлевскими медиа и троллями.