В январе 2022 года, накануне полномасштабного российского вторжения в Украину, хакеры взломали компьютеры украинских государственных учреждений и объектов критической инфраструктуры. Они атаковали операционные системы, выложили в открытый доступ украденные личные данные граждан Украины и разместили на украинских сайтах угрожающее сообщение. Хакеры использовали вредоносное программное обеспечение WhisperGate.
Как считают американские прокуроры, целью этой операции было вызвать панику среди граждан Украины, посеяв тревогу о сохранности их личных данных.
25 июня 2024 года большое жюри присяжных в штате Мэриленд предъявило обвинения одному из предполагаемых участников кибератаки – 21-летнему гражданину России Амину Стигалу. По данным обвинения, он действовал в сговоре с Главным управлением Генерального штаба РФ - российской военной разведкой, более известной под советской аббревиатурой «ГРУ» (для упрощения изложения, мы будем именно так называть эту спецслужбу).
Пятью месяцами ранее, в январе 2024 года, американские прокуроры обнародовали судебные документы, излагающие обвинения против отца Амина Стигала – Тима Стигала – за мошенничество с использованием электронных средств связи.
В комментариях «Голосу Америки» сын и отец настаивали на своей невиновности и утверждали, что не знают, по какой причине ими заинтересовались правоохранительные органы США. Младший Стигал назвал обвинения в его адрес «полным бредом и враньем».
Изучив судебные документы, информацию из открытых источников и публикации в СМИ и соцсетях, «Голос Америки» попытался создать более детальный портрет сына и отца.
Как выяснилось, во время действий, описанных в обвинениях Минюста, Амин Стигал был 19-летним геймером, жившим в провинциальной России.
Старший Стигал оказался некогда заметным блогером и активистом в Дагестане, ранее сотрудничавшим с прокремлевским молодежным движением «Наши».
Идентификация младшего Стигала «создает прецедент» де-анонимизации и предъявления обвинения предполагаемому хакеру, сказал в интервью «Голосу Америки» Александр Лесли, аналитик по киберугрозам компании Recorded Future. Однако из-за непрозрачности хакерского подполья и скрытности их взаимодействия с российскими спецслужбам трудно сделать более конкретные выводы о других организаторах и исполнителях Whispergate.
Минюст США отказался от комментариев «Голосу Америки», а в ФБР ограничились пресс-релизами и посоветовали журналисту обратиться в Минюст.
Обвинения
В начале 2022 года Амину Стигалу было лишь 19 лет, но, по данным американских правоохранительных органов, он совершил действия настолько серьёзные, что власти США предлагают публике до 10 миллионов долларов за информацию о нем и его местонахождении.
По заключению прокуроров, в январе 2022 Cтигал и его сообщники провели атаку на сети двух десятков госорганов Украины, в том числе – на несколько министерств и цифровой портал госуслуг «Дия».
На инфицированных компьютерах появилось сообщение о возможности выкупить похищенные данные госучреждений за 10 тысяч долларов в биткоинах. Однако, на самом деле, WhisperGate уже уничтожило эти данные.
Хакеры также разместили в мобильном приложении «Дия» сообщение: «Украинец... Вся информация о вас стала публичной, бойтесь и ждите худшего. Это Вам за ваше прошлое, настоящее и будущее».
Позже они запостили на интернет-форумах в Даркнете (закрытой от посторонних части Интернета - ГА) предложение о продаже данных из «Дии» – личную информацию 13,5 млн человек. За это они просили 80 тыс долларов.
Ранее пресс-служба «Дия» рассказала Украинской службе «Голоса Америки», что цифра 13.5 миллионов – это «компиляция различных баз данных, которые были слиты гораздо раньше с частных компаний», а в «Дии» во время взлома насчитывлось лишь 1,5 миллиона пользователей. Исследователи Даркнета также сомневались, что все предлагаемые к продаже данные действительно были похищены во время январской атаки.
По данным американских прокуроров, с августа 2021 по начало февраля 2022 года эти же хакеры пробовали взломать компьютеры и серверы неназванного американского государственного агентства, расположенного в штате Мэриленд. В октябре 2022 года они также взломали компьютерную сеть, связанную с транспортным сектором неназванной страны Центральной Европы, которая активно поддерживает Украину.
В случае признания виновным Стигал может быть приговорен к лишению свободы на срок до пяти лет.
«Амин Тимович Стигаль пытался использовать вредоносное ПО, чтобы помочь российским военным во вторжении на Украину, — сообщил заместитель директора ФБР Пол Аббате в пресс-релизе Минюста США. — Сегодняшнее обвинение демонстрирует непоколебимую приверженность ФБР борьбе со злонамеренной кибердеятельностью наших противников, и мы продолжим работать с нашими международными партнерами, чтобы пресечь попытки подорвать и нанести вред нашим союзникам».
По мнению Александра Лесли, Стигал, вероятно, не является организатором взлома: «Мы знаем, что ГРУ использует российских граждан, не являющихся сотрудниками ГРУ, [...] для участия в операциях влияния и предоставляет им инструменты, доступ и инфраструктуру».
Работа с привлеченной агентурой, в том числе киберпреступниками и хакерами, дает офицерам ГРУ возможность «правдоподобного отрицания» и позволяет им снять с себя ответственность за взломы и секретные операции, – добавляет Лесли.
Об обвинениях против Тима Стигала известно меньше. По данным Минюста США, в период 2014-2016 годов он был участником четырех преступных сговоров с целью незаконного оборота данных платежных карт, украденных у трех американских компаний. Согласно обвинительному заключению, он также угрожал раскрыть эти данные, если одна из компаний не согласится заплатить выкуп.
Если Тим Стигал будет признан виновным, он может быть приговорен к лишению свободы на срок, превышающий 20 лет.
На вопрос, попытались ли Стигалы доказать свою невиновность американским властям, и сын, и отец ответили, что они находятся в России и им опасно связываться с ФБР.
Тайный хакер-геймер?
Информации об Амине Стигале чрезвычайно мало. Он ведет страницы в соцсетях, но на них нет его фотографий и мало личной информации. На единственной его фотографии, взятой из паспорта и опубликованной властями США, запечатлен молодой бородатый брюнет.
Власти США сообщают, что Стигал родился в Грозном. У Стигала есть старшая сестра и два младших брата. Как следует из постов в «Телеграме» его сестры, накануне событий, описываемых в обвинительном акте, он жил отдельно от родителей – в Саратове.
Ссылаясь на неназванные источники, издание The Insider сообщает, что уже в школе Стигал засветился в чатах для хакеров и мошенников, занимающихся кражами с платежных карт.
В 2017 году в соцсети «Мой Мир» он задал пользователям вопросы: «Помогите со взломом» и «Можно ли отключить интернет через админку людям, которые подключены к wifi?»
В июне 2021 года сестра Стигала сообщила в своем «Телеграме», что он учится на первом курсе Саратовского государственного технического университета.
Сам Амин Стигал рассказывает о своей учебе по-другому. В 2020 году Стигал переболел ковидом и впоследствии плохо сдал ЕГЭ. Из-за этого ему удалось поступить лишь в местную сельскохозяйственную академию, рассказал он «Голосу Америки» в сообщении. По его словам, после первого курса бывшие одноклассники уговорили его перевестись на факультет информационной безопасности Саратовского политехнического института, однако спустя пару недель он решил, что кибербезопасность его не интересует.
«Я забросил учебу и меня отчислили за неуспеваемость — Я много лет играю в онлайн игры, DotA, CounterStrike [...] и вообще мне интересен только киберспорт.»
Амин Стигал отрицает обвинения Минюста США.
«Я ничего не взламывал, ничего не оплачивал и никакого отношения к взлому и к хакерам не имею», — написал он «Голосу Америки».
Его отец тоже утверждает, что Стигал-младший не хакер и занимается только видеоиграми.
Однако, по словам Лесли, это, на самом деле, связанные виды деятельности.
Среди российских хакеров, занимающихся высокоуровневой кибер-деятельностью, в том числе работой на спецслужбы, нередко встречаются подростки, особенно если у них мало экономических и образовательных возможностей. Хакерские форумы создают для них чувство общности. Видеоигры являются частью этой культуры.
«Киберспорт популярен среди российского киберпреступного подполья, не только как хобби, но и как времяпрепровождение, связанное с хакерством, — сказал аналитик. — Это, так сказать, своего рода “стартовый наркотик”, ведущий в хакерскую субкультуру».
Трейдер-активист, анализировавший рынки на основе Корана
Когда пользователи соцсети Х узнали, что отец Амина Стигала - Тим Стигал - тоже обвиняется в киберпреступлениях, они не могли воздержаться от шуток.
«Семьи, которые занимаются спонсируемым государством кибершпионажем, нерушимы» — писал аккаунт VX Underground, активно освещающий тему вредоносного ПО.
(На самом деле, власти США не утверждают, что Тим Стигал действовал в интересах российского правительства.)
Согласно публикациям в СМИ и другим данным, Тим Стигал родился в чеченском селе Курчалой, но долгое время жил в Дагестане и других местах.
Его имя при рождении – Тимур Магомадов, но в середине 2000-ных годов он выбрал себе псевдоним «Тим Стигал», рассказал он «Голосу Америки». С 2006 года он стал по паспорту «Тим Вахаевич Стигал».
По профессии – он трейдер на финансовых рынках. На его страницах в соцсетях и в ЖЖ уделяется много внимания «Форексу» и криптовалюте.
При этом, Тим Стигал утверждает, что никогда не занимался сбытом похищенных данных платежных карт.
«Ничем таким запретным не торговал никогда» — он написал «Голосу Америки».
У Стигала широкий спектр интересов. Он является автором книги «Грааль Имана», которая анализирует финансовые и фондовые рынки на основе Корана и Сунны.
Он также опубликовал в Интернете текст о чеченском следе в античной мифологии, который утверждает, что слова «атлет» и «атлас» происходят из чеченского языка, и концепцию «горской» политической партии для Северного Кавказа.
В прошлом Стигал участвовал в деятельности прокремлевского молодежного движения «Наши».
В ноябре 2011 года он числился дагестанским руководителем федеральной программы «Аптеки без наркотиков» и в следующем месяце был запечатлен на фотографии митинга в Москве, где активисты «Наших» праздновали победу «Единой России» на парламентских выборах в декабре 2011 года.
Позднее семья Стигалов уехала с Северного Кавказа: дочь Тима Стигала писала в телеграм-канале, что до пандемии COVID-19 ее родители жили на два города: Москва и Саратов. После окончания пандемии они остались в Саратове, но жили отдельно от детей. Теперь Тим Стигал живет в Хасавюрте.
Издание The Insider сообщает, что в некоторых слитых базах МВД имеется информация, что Стигал подозревается в экстремизме или терроризме. Однако, эта информация не сочетается с общей картиной его деятельности — и сам Стигал не уверен, откуда она.
Как минимум с 2011 года Стигал пытался сотрудничать с российскими властями. Со временем, похоже, его взгляды стали более прокремлевскими. В соцсетях он регулярно публикует посты, агрессивно критикующие США и Украину.
Что остается неизвестным?
Аналитик Лесли отмечает, что обвинения против отца и сына Стигалов – очень разные. Несмотря на то, что обвинительное заключение в отношении Тима Стигала стало общедоступным в январе, оно было подготовлено ранее 2020 года.
Инкриминируемые ему преступные операции с похищенными данных платежных карт являются более старым видом киберпреступности, характерным для 1990-х и начала 2000-х годов, говорит аналитик. Нет признаков, что эти предполагаемые преступления связаны со спецслужбами.
С Амином Стигалом ситуация сложнее. Минюст США открыто обвиняет его в сотрудничестве с ГРУ. Однако, определить масштабы этого предполагаемого содействия почти невозможно, потому что информации мало и вариантов много. Лесли даже не может исключить вариант, что Стигал мог бы неосознанно работать на ГРУ.
По мнению Лесли, «ГРУ нередко привлекает преступников и хакеров, фактически уговаривает их делать что-то за ГРУ [...] а затем разрывает связи с целью правдоподобного отрицания (своего участия в преступлении)».