Читаем Я – хакер! Хроника потерянного поколения полностью

Судья выносит решение по ходатайству государственного обвинителя Котова на изменение меры пресечения Врублевскому: изменить меру пресечения в виде заключения под стражу…

Пашу арестовывают.

Кстати, представитель потерпевшего Берёзкин из «Аэрофлота» поддержал заявленное Котовым ходатайство. Я встретил его через две недели на апелляции по мере пресечения в Московском городском суде:

— Вам вообще не стыдно? — искренне спросил я.

— А ему было не стыдно, когда люди не могли улететь? — крайне противно ответил Берёзкин.

Мне он сильно не понравился, неприятный человек.

6 июня 2013 года Врублевского на суд привозят в автозаке.

Айвар Л. К. заявляет ходатайство об изменении меры пресечения с заключения под стражу на домашний арест.

Котов парирует:

— …Однако Врублевский не сможет быть один, там живет его семья. Он будет общаться через кого-то. ОН МОЖЕТ ОРГАНИЗОВАТЬ ЛИКВИДАЦИЮ ОДНОГО ИЗ ПОНЯТЫХ, СВИДЕТЕЛЕЙ…

Судья заявляет, раз мы поставили под сомнение протоколы осмотра вещественных доказательств, то мы осмотрим эти доказательства сейчас.

В качестве эксперта государственный обвинитель приводит всё того же Ануфриева. * * *

Дальнейшие несколько заседаний мы исследуем вещественные доказательства. Перепутав время, я опоздал на час на одно из заседаний. Котов, естественно, пообещал изменить мне меру пресечения.

Как оказалось, ноутбук брата включался несколько раз вне следственных действий (по логу загрузки операционной системы Windows). Например, он включался на следующий день после ареста брата. Ноутбук был зашифрован PGP Disk и требовал пароля для загрузки.

Но самая жесть была, когда мы исследовали основное доказательство по делу — исполняемый файл бота (лоадер), который был получен якобы во время проведения ОРМ. Я предложил открыть файл в программе PETools, чтобы увидеть дату создания файла в заголовке. И эта дата оказалась 17 сентября 2010 года, а записан файл был на диск 22 сентября 2010 года. При этом файл должны были передать на экспертизу 8 сентября. А сама экспертиза проходила с 10-го по 27 сентября 2010 года. Получалось, что файл был создан и записан во время проведения экспертизы в Group-IB[58].

Только судью это нисколько не остановило. Она отклоняла все ходатайства об исключении вещественных доказательств.

После осмотра доказательств суд перешел к допросу обвинямых — нас. Мы (Врублевский, я и мой брат) отказались от надиктованных признаний, а суд их зачитывал. Котов был явно доволен собой.

11 июля 2013 года на суд в качестве свидетеля пришел человек, кто и инициировал это дело, — сам Серёжа Михайлов, руководитель оперативного подразделения ЦИБ ФСБ.

Отвечая на вопрос главного обвиняемого — владельца платежной системы ChronoPay Павла Врублевского, — Михайлов подтвердил, что они знакомы друг с другом примерно с 2007 года. При этом отношения между ними носили как профессиональный, так и личный характер.

«Компания ChronoPay представляла для нас интерес, а Врублевский — умный и уважаемый мною человек, который смог сплотить вокруг себя ”хакеров“ (под ними мы понимаем как хороших, так и плохих людей)», — пояснил Михайлов.

Отвечая на вопрос судьи Натальи Луниной, Михайлов отметил, что «по-человечески ему жалко, что Врублевский такое допустил», но в то же время заверил, что дело расследовалось им беспристрастно.

ФСБ занялось этим делом в связи с тем, что пострадавшим оказалась госкомпания — «Аэрофлот». Михайлов рассказал вкратце о том, как происходило расследование этого преступления. Сначала никаких подозрений в отношении Врублевского и других обвиняемых не было, но Врублевский проходил по другим оперативным делам. В то же время оперативные источники из окружения предпринимателя рассказали ФСБ о номерах кошельков WebMoney, между которыми, предположительно, могли передаваться деньги за оплату атаки.

«Кошелек отправителя был анонимный, но ранее он проходил в других делах как кошелек ChronoPay, в частности, с него осуществлялась оплата некоему Engel’у за продажу в интернете фармацевтических препаратов», — вспоминает Михайлов.

Владельца кошелька-получателя удалось установить: это был петербургский программист Игорь Артимович. Во время атаки на «Аэрофлот» он получал порядка $500–1000 в день.

Через оперативные возможности в системе WebMoney удалось установить IP-адрес, с которого осуществлялись заходы в данный кошелек. Этот адрес числился за интернет-провайдером «Национальные кабельные сети» (НКС), куда ФСБ и направило запрос относительно данных пользователя адреса. Затем, получив санкцию Мосгорсуда (на тот момент братья Артимовичи снимали квартиру в столице), начали мониторинг интернет-канала подозреваемых. Это позволило выявить обращения к адресу американского сервера, на котором была обнаружена панель управления ПО Topol-Mailer.