Илья Сачков: три версии обвинения в госизмене: ФСБ, Интерпол и криптоотмыватели Seux.

Илья Сачков: три версии обвинения в госизмене: ФСБ, Интерпол и криптоотмыватели Seux.

29 сентября в офисе Group-IB прошли обыски, а Лефортовский суд столицы арестовал на два месяца основателя компании Илью Сачкова.

 Предпринимателя обвинили в государственной измене (ст. 275 УК России — до 20 лет лишения свободы).

Рассмотрим три версии дела Сачкова и вспомним, как Илья вырастил один из самых известных в стране IT-бизнесов.

Сачков, по данным следствия, передавал спецслужбам других государств данные, «которые составляют гостайну в области кибербезопасности».

Речь может идти о разведках сразу нескольких стран, и ро слухам, к делу подключилась «военная контрразведка ФСБ».

Первая версия, связывает арест Сачкова с громким уголовным делом бывшего начальника отдела оперативного управления Центра информационной безопасности ФСБ (ЦИБ) Сергея Михайлова.

Михайлов был арестован в конце 2016 года, а в 2019-м — приговорен к 22 годам тюрьмы.

экс-полковник ФСБ и другие фигуранты дела  — могли раскрыть американским спецслужбам связанных с ГРУ хакеров, которые были причастны ко взлому серверов Демократической партии перед выборами президента США в 2016 году.

Газета «Коммерсантъ» также писала, что Михайлов и другие фигуранты в 2011 году за $10 млн раскрыли ФБР детали по делу основателя Chronopay Павла Врублевского, которого в США считали киберпреступником.

Сачков проходил в деле как свидетель обвинения и, возможно, «дал ложные показания, которые позволили следствию сделать вывод о причастности Михайлова к госизмене».

после выяснилось, что основатель Group-IB был косвенным участником и другого скандала, связанного с хакерскими атаками в США.

Речь о деле руководителя департамента сетевой безопасности Group-IB Никиты Кислицина.

против Кислицына в 2014 году в США было возбуждено уголовное дело по обвинению в продаже украденных данных пользователей соцсети Formspring.

В 2020 году минюст США опубликовал данные Кислициным в 2014-м показания по делу. 

Из них следовало, что Кислицин, чтобы избежать тюремного заключения, пошел на сделку с властями США и дал показания на нескольких знакомых хакеров (в том числе на фигуранта дела Михайлова Дмитрия Докучаева, который в тот момент был действующим сотрудником ЦИБ ФСБ).

При этом топ-менеджер Group-IB подчеркивал, что раскрытие этой информации ФБР согласовал с Сачковым.

Вторая версия — что под статью о госизмене предприниматель мог попасть из-за участия Group-IB в расследованиях Интерпола.

Тебя просят предоставить данные по итогам расследования, ты их отдаешь — а потом оказывается, что внутри было что-то, чего не должны были видеть другие.

Так ошибиться может кто угодно, а Илья ссорился со многими и, кто-то мог его ошибку подсветить.

Возможно, таким расследованием могло быть дело владельца компании «М13» и предполагаемого экс-владельца телеграм-канала «Незыгарь» Владислава Клюшина, которого в марте 2021 года задержали в Швейцарии.

В США, его подозревают в промышленном шпионаже и торговле закрытыми данными Tesla и IBM. Сачков мог «сдать» Клюшина.

 По слухам, сотрудники Group-IB уже несколько недель ищут возможности трудоустройства, а саму компанию постепенно «отодвигают» от государственных денег.

 Возможно, основатель Group-IB за последнее время потерял «хороших знакомых из МВД и ФСБ», которых могло обидеть его заявления о том, что

«русские ничего не умеют расследовать,

в то время как русские хакеры уже сидят везде, и он один — светоч на рынке информационной безопасности».

Речь о скандальном эпизоде  —  выступлении Ильи на встрече премьера Михаила Мишустина с IT-предпринимателями в Казани летом 2020 года.

 Тогда Сачков раскритиковал неэффективную борьбу российских властей с киберпреступниками.

В пример он привел разыскиваемого ФБР лидера группировки Evil Corp. Максима Якубца, «который в Москве разъезжает на Lamborghini с номерами ВОР».

Также Сачков назвал «странным» факт назначения на пост главы Ассоциации экспорта технологического суверенитета Андрея Безрукова — «бывшего резидента СВР, выгнанного из США».

Смелое выступление предпринимателя, вероятно, объяснялось тем, что Сачков не знал об открытом характере мероприятия.

Третья версия о криптоотмывателях.

арест Сачкова может быть связан с недавними санкциями США против платформе по обмену криптовалюты SUEX, которую власти страны подозревают в причастности к обеспечению финансовых операций хакеров.

Сачков, якобы, давно «следил» за киберпреступниками, которым, согласно американской версии, SUEX предоставляет инфраструктуру. Как из этого интереса выросло обвинение в госизмене, не очень понятно.

Подробнее о платформе по обмену криптовалюты SUEX в конце видео.

А сейчас расскажу о Илье и его компании.

Илья Сачков родился в Москве в 1986 году.

 Отец работал физиком, мать — информационным аналитиком в Центробанке.

В школе, Илья регулярно нарушал дисциплину, так что даже был исключен из 444-й школы с углубленным изучением математики и информатики (но уже через год вернулся в нее).

в старших классах Сачков стал пробовать себя в написании программ, а к моменту поступления на факультет защиты информации в МГТУ им. Баумана  параллельно руководил направлением аудита в банке.

на первом курсе он прочитал книгу экс-сотрудников ФБР Криса Просиса и Кевина Мандиа «Расследование компьютерных преступлений».  Ссылка на книгу под видео.

Из нее Сачков узнал о бизнесе в области информационной безопасности, специализирующемся на расследованиях и компьютерной криминалистике.

Так в 2003 году ему пришла в голову идея основать кибердетективное агентство.

Рынок расследования цифровых преступлений в стране тогда был неразвит — монопольным игроком в этой сфере было МВД,

в Бюро специальных технических мероприятий которого, по словам Сачкова, его не приняли на работу без корочки профильного милицейского вуза.

Сачков  собрал команду из 12 человек. Необходимую на запуск сумму — $5000 — молодые детективы взяли в долг у старшего брата Сачкова Дмитрия.

 Первым клиентом стал знакомый топ-менеджер нефтяной компании, которому неизвестный угрожал публикацией компрометирующих фото.

Расследования Group-IB тогда стоили в диапазоне $10–40 тысяч и не привлекали крупных корпоративных клиентов из России.

на стартап быстро обратили внимание работающие в стране иностранные компании, сотрудничающие с подобными проектами и на Западе.

Например, уже в 2007 году с Group-IB стала сотрудничать Microsoft.

 по-настоящему масштабировать бизнес Group-IB удалось в 2010-м, когда Сачков и его команда помогли установить хакеров, взломавших один из сайтов компании Leta Group.

 Впечатленный основатель и совладелец Leta Александр Чачава вместе со своим однокурсником Сергеем Пильцовым приобрели 50% Group-IB, которая в том же году получила $3 млн выручки.

Привлеченные от инвесторов средства стартап ( $2 млн) потратил на пятикратное расширение штата,

развитие отделов продаж и маркетинга,

 закупку инновационного оборудования и открытие офисов в Нью-Йорке и Сингапуре.

Group-IB сменила тактику взаимодействия с госорганами:

 перестала делать экспертизы для МВД, ФСБ и Следственного комитета бесплатно и 

начала сотрудничать с ведомствами по рыночным расценкам.

В совокупности на силовиков приходилось до 20–30% проводимых  экспертиз.

Стоимость полноценного расследования силами команды поднялась до $200–300 тысяч.

В 2011-м, утверждали Сачков и Чачава, Group-IB стала стабильно прибыльным бизнесом.

В 2012-м компания помогла российским правоохранителям задержать участников крупной группировки Carberp,

которые похитили не менее 130 млн рублей у клиентов 100 банков по всему миру,

 а также поучаствовала в деле основателя процессинговой системы Chronopay Павла Врублевского,

который в 2013 году был приговорен к 2,5 годам колонии за DDoS-атаку на «Аэрофлот».

Выручка Group-IB по итогам 2013-го достигла $36 млн, Сачков и другие менеджеры выкупили обратно доли Чачавы и Пильцова.

Компания расширила ассортимент продуктов — главным источником ее доходов стали услуги не по поимке киберпреступников, а по предотвращению хакерских атак.

В клиенты к ней постепенно пришли все крупнейшие российские банки и другие корпорации.

Компания стала сотрудничать и с международными правоохранителями — Интерполом и Европолом.

Сачков получил признание и как отраслевой эксперт —

он вошел в профильные комитеты при Госдуме, МИДе и ОБСЕ,

регулярно выступал на крупных конференциях по кибербезопасности,

попадал в рейтинг 30 Under 30 журнала Forbes,

а в 2019-м даже получал премию конкурса «Немалый бизнес» из рук Владимира Путина.

В 2016-м Group-IB продала по 10% компании инвестиционным фондам Run Capital, созданного при участии сооснователя QIWI Андрея Романенко,

 и Altera Capital, основанного экс-заместителем руководителя аппарата правительства Кириллом Андросовым.

Сачков говорил, что в рамках сделки компания была оценена в диапазоне $80–100 млн.

В 2018-м Group-IB перевезла головной офис в Сингапур. 

сообщали о возможности скорого IPO компании на зарубежных площадках.

Выручка российского юрлица ООО «Группа Айби» в 2020 году выросла до 385 млн. рублей, чистый убыток составил 43 млн. рублей.

 Сегодня Group-IB — это компания со штатом более чем в 300 человек, клиентами более чем из 60 стран и портфолио более чем из 1300 расследований киберпреступлений.

В заключении расскажу о криптообменнике Suex.

В конце сентября 2021 года минфин США, ввел первые в истории санкции против криптовалютной компании — основанного россиянами обменника Suex, который, по версии Вашингтона, помогал отмывать деньги хакерам и кибермошенникам, а заодно проводил платежи крупнейшего в России маркетплейса наркотиков Hydra.

Попавший под санкции криптообменник оказался российским.

Речь о платформе SUEX OTC S.R.O, зарегистрированной в Чехии и имеющей офис в «Москва-Сити» и несколько физических обменников в российских городах.

Почти все акционеры и руководители Suex — россияне.

По данным минфина США, Suex «содействовала операциям, связанным с незаконными доходами по меньшей мере от восьми способов вымогательства».

За три года через платформу прошел $481 млн, полученный от незаконных операций.

Более 40% транзакций на платформе связаны с преступной деятельностью.

Санкции предусматривают блокировку активов компании на территории США. Кроме того, гражданам страны запрещено взаимодействовать с сервисом.

Для США атаки хакеров-вымогателей в последнее время стали проблемой национального масштаба.

В начале мая хакеры атаковали трубопровод Colonial Pipeline, из-за чего в стране начался бензиновый кризис.

За взломом стояла молодая на тот момент группировка DarkSide, у которой сразу же нашелся «русский след».

Группировка слыла профессиональной и очень эффективной — сумма полученных выкупов оценивается десятками миллионов долларов в год.

В начале июля Джо Байден обсуждал вопрос об атаках хакеров-вымогателей на звонке с Владимиром Путиным,

Джо просил Россию пресекать такие атаки и предупреждал, что США будут принимать меры для защиты людей и критически важной инфраструктуры.

Первое, за что всерьез взялись американские власти, —

 криптовалютные сервисы, с помощью которых хакеры получали вознаграждения от атакованных компаний.

В июле, власти США ужесточили контроль за криптотранзакциями, а в Белом доме появилась специальная комиссия по борьбе с хакерами, использующими вирусы-вымогатели.

Первой крупной жертвой и стала Suex — снова компания с очень заметным «русским следом».

Что известно о SUEX?

Криптообменник Suex зарегистрирован по двум адресам. Один из них — в Праге, а второй — в «Москва-Сити», в люксе Q на 31-м этаже башни «Федерация».

Suex называют внебиржевым брокером криптовалюты — это не биржа, у которой есть централизованное управление и где пользователи держат счета, чтобы покупать и продавать криптовалюту, а площадка, куда пользователи приносят наличные и криптовалюту и обменивают их.

То есть, простыми словами, криптообменник.

Для такого бизнеса наличие и местоположение офлайновых офисов — принципиально важный момент: все сделки велись с крупными клиентами, а чтобы произвести обмен, требовалось их личное присутствие в одном из офисов компании.

Расследование показало, что платформа конвертировала криптовалюту в наличные деньги в отделениях в Москве и Санкт-Петербурге, а также, возможно, в других офисах в России и на Ближнем Востоке.

 блокчейн-аналитики писали, что Suex заняла важное место на рынке обналичивания незаконно полученной криптовалюты.

Стать клиентом Suex можно было только по рекомендации.

Общение с клиентами шло через Telegram, но саму сделку заключить можно было только лично, приехав в офис.

 Компания работала только с крупными чеками, минимально допустимая транзакция составляла $10 тысяч.

 Сама компания криптовалюту не хранила, а вместо этого использовала инфраструктуру крупной криптобиржи — это помогало быстрее и дешевле проводить сделки.

 на криптовалютном рынке, Suex, как и другие подобные обменники в «Москва-Сити», пользовалась довольно большим спросом.

Наличные туда попадали в основном с московских рынков, вроде «Садовода» или рынка в Люблино.

На каждом из них есть пункт приема наличных денег, где их пересчитывают и везут в обменник.

Самим предпринимателям на рынках криптовалюта нужна, чтобы расплачиваться с продавцами за границей, например в Китае.

Товары через границу часто завозятся по заниженным ценам, а чтобы провести реальную оплату, нужна криптовалюта — стейблкоины Tether (USDT).

Криптообменник практически никак не проверял источники денег своих клиентов, утверждает аналитики.

Об этом же до недавнего времени косвенно говорилось в профиле на LinkedIn одного из основателей платформы:

он обещал, что на сделку в Suex потребуется меньше 24 часов — без долгих разбирательств и подтверждающих документов.

За счет доступа к большому потоку наличных и связей с крупной биржей Suex смогла довести объем обналичивания незаконно полученных криптовалют до угрожающих масштабов.

 С какими именно биржами могла работать Suex, не уточняется, но после внесения компании в санкционный список стало известно, что она использовала учетные записи бирж Binance и Huobi.

 с момента основания в 2018 году Suex перевела криптовалюту на сотни миллионов долларов, а большая часть средств поступила из незаконных и высокорискованных источников.

В структуре незаконных операций около $13 млн, по данным Chainalysis,

пришлось на операторов программ-вымогателей, а еще $24 млн — пришли от недавно рухнувшей пирамиды Finiko

(ее историю я подробно рассказываю в видео по ссылке внизу).

Более $20 млн Suex получила от Hydra, крупнейшего русскоязычного даркнет-маркетплейса по торговле наркотиками.

Еще $50 млн — с адресов, размещенных на заблокированной в США криптовалютной бирже BTC-e.

Интересно, что сделки с криптовалютой BTC-e продолжались и после того, как она рухнула, а активы оказались заморожены.

Кто стоит за Suex?

Крупнейший акционер Suex, россиянин Егор Петуховский, сейчас, если верить Facebook, живет в Цюрихе.

 на своей странице в соцсети Петуховский назвал новости о Suex «дискредитацией» и заявил, что намерен защищать свое имя в суде в США.

В середине 2000-х он начинал с разработки сайтов в компании art of web, затем в 2014 году создал компанию m4bank.ru, которая делала платежные устройства для банков, а сейчас называется «Центр корпоративных технологий».

Suex Петуховский основал в 2018 году.

Сначала его знакомый Иван Петуховский (по словам обоих, они не родственники, а однофамильцы), сооснователь криптовалютной биржи Exmo, рассказал ему о покупке криптовалют.

Максим Субботин —  еще один вероятный инвестор Suex.

Максим Субботин — юрист, его юридическая фирма «Тримфин» зарегистрирована в той же башне «Федерация» в «Москва-Сити» и, судя по вакансиям, специализируется на делах, связанных с покупкой и продажей криптовалюты.

Максим — выходец из Казани, основавший там Blockchain Club, курсы про криптовалюты и трейдинг.

А еще — учредитель микрокредитной организации «Финстор», которую ЦБ включил в список нелегальных кредиторов и финансовых пирамид.

Ильдар Закиров, внебиржевой трейдер из Казани – это еще один сооснователь Suex.

Его Петуховский называл «человеком-успехом»: именно с прихода Закирова начался бизнес Suex, ему же удалось найти первого клиента.

История продолжается.

В конце сентября движение «Стопнаркотик»  подало заявления в ЦБ и МВД, в котором описало связи Suex с ExMo и украинским банком «Конкорд»,

позволявшие Suex проводить платежи для наркотического маркетплейса Hydra, оборот которого составляет $1,5 млрд в год.