У січні 2022 року, напередодні повномасштабного російського вторгнення в Україну, хакери зламали комп'ютери українських державних установ та об'єктів критичної інфраструктури. Вони атакували операційні системи, виклали у відкритий доступ вкрадені особисті дані громадян України та розмістили на українських сайтах загрозливе повідомлення. Хакери використовували шкідливе програмне забезпечення WhisperGate.
Як вважають американські прокурори, метою цієї операції було викликати паніку серед громадян України, посіявши тривогу щодо збереження їхніх особистих даних.
25 червня 2024 року суд присяжних у штаті Меріленд звинуватив одного з імовріних учасників кібератаки – 21-річного громадянина Росії Аміна Стігала. За даними звинувачення, він діяв у змові з Головним управлінням Генерального штабу РФ – російською військовою розвідкою, більш відомою під радянською абревіатурою «ГРУ» (для спрощення викладу ми саме так називатимемо цю спецслужбу, – ред.).
П'ять місяців тому, у січні 2024 року, американські прокурори оприлюднили судові документи, що викладають звинувачення проти батька Аміна Сігала – Тіма Стігала – за шахрайство з використанням електронних засобів зв'язку.
У коментарях Голосу Америки син та батько наполягали на своїй невинуватості та стверджували, що не знають, чому ними зацікавилися правоохоронні органи США. Молодший Стігал назвав звинувачення на його адресу «повним маренням і брехнею».
Вивчивши судові документи, інформацію з відкритих джерел та публікації у ЗМІ та соцмережах, Голос Америки спробував створити більш детальний портрет сина та батька.
Як з'ясувалося, під час дій, описаних у звинуваченнях Мін'юсту, Амін Стігал був 19-річним геймером, який жив у провінційній Росії.
Старший Стігал виявився колись помітним блогером та активістом у Дагестані, який раніше співпрацював із прокремлівським молодіжним рухом «Наші».
Ідентифікація молодшого Стигала «створює прецедент» де-анонімізації та звинувачення імвірного хакера, сказав в інтерв'ю Голосу Америки Александр Леслі, аналітик з кіберзагроз компанії Recorded Future. Однак через непрозорість хакерського підпілля та скритність їхньої взаємодії з російськими спецслужбами важко зробити конкретніші висновки про інших організаторів та виконавців Whispergate.
Мін'юст США відмовився від коментарів Голосу Америки, а у ФБР обмежилися пресрелізами та порадили журналісту звернутися до Мін'юсту.
Звинувачення
На початку 2022 року Аміну Стігалу було лише 19 років, але, за даними американських правоохоронних органів, він вчинив дії настільки серйозні, що влада США пропонує громадськості до 10 мільйонів доларів за інформацію про нього та його місце перебування.
За висновками прокурорів, у січні 2022 року Cтігал та його спільники провели атаку на мережі двох десятків державних органів України, у тому числі – на кілька міністерств та цифровий портал держпослуг «Дія».
На інфікованих комп'ютерах з'явилося повідомлення про можливість викупити викрадені дані держустанов за 10 тисяч доларів у биткоинах. Однак, насправді, WhisperGate вже знищив ці дані.
Хакери також розмістили в мобільному додатку «Дія» повідомлення: «Українцю... Вся інформація про вас стала публічною, бійтеся та чекайте на гірше. Це Вам за ваше минуле, сьогодення та майбутнє».
Пізніше вони запостили на інтернет-форумах у Даркнеті (закритій від сторонніх частин Інтернету, – ред.) пропозицію про продаж даних з «Дії» – особисту інформацію 13,5 млн осіб. За це вони просили 80 тисяч доларів.
Раніше пресслужба «Дії» розповіла Українській службі Голосу Америки, що цифра 13.5 мільйонів – це «компіляція різних баз даних, які були злиті набагато раніше з приватних компаній». А у «Дії» під час злому налічувалося лише 1,5 мільйон користувачів. Дослідники Даркнета також сумнівалися, що всі дані, що пропонуються до продажу, дійсно були викрадені під час січневої атаки.
За даними американських прокурорів, з серпня 2021 по початок лютого 2022 року ці хакери пробували зламати комп'ютери і сервери неназваного американського державного агентства, розташованого в штаті Меріленд. У жовтні 2022 року вони також зламали комп'ютерну мережу, пов'язану із транспортним сектором неназваної країни Центральної Європи, яка активно підтримує Україну.
У разі визнання винним Стігала може бути засуджено до позбавлення волі на строк до п'яти років.
«Амін Тимович Стігаль намагався використати шкідливе програмне забезпечення, щоб допомогти російським військовим у вторгненні в Україну, — повідомив заступник директора ФБР Пол Аббате у пресрелізі Мін'юсту США. — Сьогоднішнє звинувачення демонструє непохитну відданість ФБР боротьбі зі зловмисною кібердіяльністю наших супротивників, і ми продовжимо працювати з нашими міжнародними партнерами, щоб припинити спроби підірвати та завдати шкоди нашим союзникам».
На думку Леслі, Стігал, ймовірно, не є організатором злому: «Ми знаємо, що ГРУ використовує російських громадян, які не є співробітниками ГРУ, для участі в операціях впливу і надає їм інструменти, доступ та інфраструктуру».
Робота із залученою агентурою, у тому числі кіберзлочинцями та хакерами, дає офіцерам ГРУ можливість «правдоподібного заперечення» і дозволяє їм зняти з себе відповідальність за зломи та секретні операції, – додає Леслі.
Про звинувачення проти Тіма Сігала відомо менше. За даними Мін'юсту США, у період 2014-2016 років він був учасником чотирьох злочинних змов з метою незаконного обігу даних платіжних карток, викрадених у трьох американських компаній. Згідно з обвинувальним висновком, він також погрожував розкрити ці дані, якщо одна з компаній не погодиться заплатити викуп.
Якщо Тім Стігал буде визнаний винним, його можуть засудити до позбавлення волі на строк, що перевищує 20 років.
На запитання, чи Стігали спробували довести свою невинуватість американській владі, і син, і батько відповіли, що вони перебувають у Росії і їм небезпечно зв'язуватися з ФБР.
Таємний хакер-геймер?
Інформації про Аміна Стігала надзвичайно мало. Він веде сторінки у соцмережах, але на них немає його фотографій та мало особистої інформації. На єдиній його фотографії, взятій із паспорта та опублікованій владою США, зображений молодий бородатий брюнет.
Влада США повідомляє, що Стігал народився в Грозному. У нього є старша сестра і двоє молодших братів. Як випливає з постів у «Телеграмі» його сестри, напередодні подій, що описуються в обвинувальному акті, він жив окремо від батьків – у Саратові.
Посилаючись на неназвані джерела, проєкт журналістських розслідувань, видання The Insider повідомляє, що вже в школі Стігал засвітився у чатах для хакерів та шахраїв, які займаються крадіжками з платіжних карток.
У 2017 році в соцмережі «Мій Світ» він поставив користувачам запитання: «Допоможіть зі зломом» та «Чи можна відключити інтернет через адмінку людям, які підключені до wifi?»
У червні 2021 року сестра Стігала повідомила у своєму «Телеграмі», що він навчається на першому курсі Саратовського державного технічного університету.
Сам Амін Сігал розповідає про своє навчання по-іншому. У 2020 році Стігал перехворів на ковід і згодом погано здав ЄДІ. Через це йому вдалося вступити лише до місцевої сільськогосподарської академії, розповів він у повідомленні. За його словами, після першого курсу колишні однокласники вмовили його перевестися на факультет інформаційної безпеки Саратовського політехнічного інституту, проте через кілька тижнів він вирішив, що кібербезпека його не цікавить.
"Я закинув навчання і мене відрахували за неуспішність - Я багато років граю в онлайн ігри, DotA, CounterStrike [...] і взагалі мені цікавий тільки кіберспорт."
Амін Стігал заперечує звинувачення Мін'юсту США.
«Я нічого не зламував, нічого не оплачував і жодного відношення до злому та хакерів не маю», — написав він Голосу Америки.
Його батько теж стверджує, що Стігал-молодший не є хакером і займається лише відеоіграми.
Однак, за словами Леслі, це насправді пов'язані види діяльності.
Серед російських хакерів, які займаються високорівневою кібер-діяльністю, у тому числі роботою на спецслужби, нерідко зустрічаються підлітки, особливо, якщо їм бракує економічних і освітніх можливостей. Хакерські форуми створюють їм почуття спільноти. Відеоігри є частиною цієї культури.
«Кіберспорт популярний серед російського кіберзлочинного підпілля, не тільки як хобі, але і як проведення часу, пов'язане з хакерством, — сказав аналітик. - Це, так би мовити, свого роду "стартовий наркотик", що веде до хакерської субкультури».
Трейдер-активіст, який аналізував ринки на основі Корану
Коли користувачі соцмережі Х (колишня Twitter) дізналися, що батько Аміна Стігала – Тім Стігал – теж звинувачується в кіберзлочинах, вони не могли утриматися від жартів.
"Сім'ї, які займаються спонсорованим державою кібершпигунством, непорушні", – писав аккаунт VX Underground, що активно висвітлює тему шкідливого ПЗ.
(Насправді, влада США не стверджує, що Тім Стігал діяв на користь російського уряду.)
Згідно з публікаціями у ЗМІ та інших даних, Тім Стігал народився у чеченському селі Курчалою, але тривалий час жив у Дагестані та інших місцях.
Його ім'я при народженні – Тимур Магомадов, але в середині 2000-х років він обрав собі псевдонім «Тім Стігал», розповів він Голосу Америки. З 2006 року він став за паспортом «Тим Вахаєвич Стігал».
За професією він трейдер на фінансових ринках. На його сторінках у соцмережах та в популярній в Росії соцмережі ЖЖ приділяється багато уваги «Форексу» та криптовалюті.
При цьому Тім Стігал стверджує, що ніколи не займався збутом викрадених даних платіжних карток.
"Нічим таким забороненим не торгував ніколи", – він написав Голосу Америки.
У Стігала широкий спектр інтересів. Він є автором книги «Грааль Імана», яка аналізує фінансові та фондові ринки на основі Корану та Сунни.
Він також опублікував в Інтернеті текст про чеченський слід у античній міфології, – який стверджує, що слова «атлет» та «атлас» походять з чеченської мови, – і концепцію «гірської» політичної партії для Північного Кавказу.
У минулому Стігал брав участь у діяльності прокремлівського молодіжного руху "Наші".
У листопаді 2011 року він вважався дагестанським керівником федеральної програми «Аптеки без наркотиків» і наступного місяця було знято на фотографії мітингу в Москві, де активісти «Наших» святкували перемогу «Єдиної Росії» на парламентських виборах у грудні 2011 року.
Пізніше сім'я Стігалів поїхала з Північного Кавказу: дочка Тіма Стігала писала в телеграм-каналі, що до пандемії COVID-19 її батьки жили на два міста: Москва та Саратов. Після закінчення пандемії вони залишилися у Саратові, але жили окремо від дітей. Тепер Тім Стігал живе у Хасавюрті.
Видання The Insider повідомляє, що в деяких злитих базах МВС є інформація, що Стігал підозрюється в екстремізмі чи тероризмі. Однак ця інформація не поєднується із загальною картиною його діяльності — і сам Стігал не впевнений, звідки вона.
Як мінімум із 2011 року Стігал намагався співпрацювати з російською владою. Згодом, схоже, його погляди стали більш прокремлівськими. У соцмережах він регулярно публікує пости, які агресивно критикують США та Україну.
Що лишається невідомим?
Аналітик Леслі зазначає, що звинувачення проти батька та сина Стігалів – дуже різні. Незважаючи на те, що обвинувальний висновок щодо Тіма Стігала став загальнодоступним у січні, він був підготовлений раніше 2020 року.
Інкриміновані йому злочинні операції з викраденими даними платіжних карток є більш старим видом кіберзлочинності, характерним для 1990-х і початку 2000-х років, каже аналітик. Немає ознак, що ці імовірні злочини пов'язані зі спецслужбами.
З Аміном Стігалом ситуація складніша. Мін'юст США відкрито звинувачує його у співпраці з ГРУ. Однак, визначити масштаби цього передбачуваного сприяння майже неможливо, тому що інформації мало і багато варіантів. Леслі навіть не може виключити варіант, що Стігал міг несвідомо працювати на ГРУ.
На думку Леслі, «ГРУ нерідко залучає злочинців та хакерів, фактично вмовляє їх робити щось за ГРУ [...] а потім розриває зв'язки з метою правдоподібного заперечення (своєї участі у злочині)».
