Серия «Преступления которых не существовало»

Карл Кох (псевдоним «Hagbard», по персонажу трилогии «Illuminatus!» Роберта Антона Уилсона). Родился 1965, Ганновер. Тяжёлая наркотическая зависимость. Убеждён что живёт внутри теории заговора иллюминатов. Найден сожжённым в лесу под Ганновером 23 мая 1989 года. Официально: самоубийство. Неофициально: открытый вопрос.

Маркус Хесс (псевдоним «Urmel»). Тот самый хакер которого полтора года выслеживал Столл. Проникал в компьютеры военных сетей США через подключение к сети Berkeley Lab.

Ханс Хайнрих Хюбнер (псевдоним «Pengo»). Впоследствии добровольно сдался властям, воспользовавшись амнистией для шпионов в западногерманском законодательстве.

Петер Карл. Вербовщик группы, организовавший первый контакт с КГБ.

Агент КГБ Сергей Марков (Восточный Берлин). Принимал материалы и платил.

Хронология

1985: На хакерской встрече в Ганновере Петер Карл вербует Коха в кольцо хакеров для взлома западных компьютерных систем, особенно военных и оборонных.

Сентябрь 1986: Карл и Бжезинский едут в советское торговое представительство в Восточном Берлине с предложением продавать секретную информацию с американских военных компьютеров. Агент КГБ Марков соглашается.

1986-1988: Группа взламывает компьютеры американских военных и оборонных организаций, скачивает документы и программы, передаёт их КГБ в Восточном Берлине. Оплата: деньги наличными и наркотики.

1986 (параллельно): Столл в Беркли обнаруживает расхождение в 75 центов в биллинге. Начинает отслеживать хакера. ФБР, ЦРУ, АНБ - никто не заинтересован. Нет законов, нет юрисдикции, нет понимания что это такое.

Июнь 1987: Американские и западногерманские власти при помощи Столла отслеживают звонок Хесса из Беркли до его квартиры в Ганновере. Из-за ошибки полиции Хесса не поймали на месте взлома. Арестован, но отпущен под апелляцию.

Лето 1988: Кох и Хюбнер независимо друг от друга сдаются властям, воспользовавшись амнистией для шпионов.

2 марта 1989: Арестованы 8 человек, включая Хесса, Хюбнера, Коха, Бжезинского, Карла. Большинство отпущены через несколько дней.

23 мая 1989: Карл Кох найден сожжённым в лесу под Ганновером. Записки нет.

Технический разбор

Метод проникновения: Маркус Хесс использовал DEC VAX систему и эксплуатировал подключение Беркли к Space Physics Analysis Network (SPAN) - научной сети связывавшей университеты и исследовательские лаборатории. Это дало доступ к военным сетям которые были связаны с той же инфраструктурой.

Характерный признак который выдал происхождение: хакер постоянно использовал команду ps -eafg. Флаг -f был лишним под Berkeley Unix, но стандартным под AT&T Unix. Столл понял: хакер либо с восточного побережья США, либо из-за рубежа.

Это первый задокументированный пример поведенческого профилирования хакера - определения происхождения по операционным привычкам, а не по IP-адресу.

Что продавали: документы и ПО с военных компьютеров. Стратегическая разведка: структуры военных сетей, доступ к системам Министерства обороны.

Что КГБ с этим делал: по имеющимся данным - не очень понимал. Это была первая встреча советской разведки с хакерами как инструментом. Ни методологии, ни инфраструктуры для работы с цифровой разведкой ещё не существовало.

Юридический разбор

Западная Германия 1989: Хакеры осуждены за шпионаж, получили условные сроки около двух лет. Суд констатировал минимальный ущерб для Германии.

Почему условно: воспользовавшись амнистией для шпионов и добровольно сдавшись, Кох и Хюбнер получили защиту от уголовного преследования. Именно это разозлило Столла - он потратил год жизни, а виновные фактически не сели.

США: никакого преследования - не было законов, не было юрисдикции для иностранных хакеров.

Прецедент для международного права: это дело стало одним из первых которые показали необходимость международных договоров о киберпреступлениях. Конвенция Совета Европы о киберпреступности (Будапештская конвенция) появится только в 2001 году - через 15 лет после этих событий.

Подводные камни

Закрытость научных сетей - иллюзия безопасности. SPAN и аналогичные сети считались «закрытыми» потому что это не публичный интернет. Но они были связаны друг с другом и с военными системами. Концепция «безопасная сеть = закрытая сеть» не работает когда есть мостиковые соединения.

75 центов как стартовая точка. Столл нашёл хакера из-за копеечного расхождения в биллинге. Это аномалия - и это урок: мониторинг мелких расхождений важнее чем мониторинг крупных событий. Крупные события видны сразу. Мелкие аномалии - признак длительного скрытого присутствия.

КГБ не понимал что покупает. Разведчики не имели технической экспертизы для оценки ценности материалов. Это значит возможна ситуация когда продавец завышал ценность информации, а покупатель не мог проверить. Тот же паттерн что и в современных схемах продажи «банковских легенд».

Судьба Коха. Найден сожжённым. Никаких объяснений. Это единственный участник кто не дожил до суда. Случайность или нет - официально неизвестно.

Финал: всё что вы знали о первом кибершпионаже - неправда

В 2005 году на портале Provider.net.ru появился меморандум за подписью ArkanoiD - одного из участников петербургской группы которая продала доступ Левину. В нём он уточнял историю дела Citibank. Эти уточнения можно спроецировать на историю с КГБ.

Возможно первый успешный западный кибершпионаж в пользу СССР был не столько о технических способностях исполнителей, сколько о том что КГБ первым начал платить людям с доступом. Не за технику. За доступ.

Эта модель - платить за доступ, а не за умение взламывать - остаётся актуальной. В 2016 году казахстанский инсайдер фотографировал экран с IMSI-данными и пересылал фотографии за деньги. Не отличается от Карла Коха везущего дискеты в Восточный Берлин в 1986-м.

Инструменты менялись. Модель осталась.

Ссылки: Stoll C., «The Cuckoo's Egg» (1989, книга); en.wikipedia.org/wiki/Karl_Koch_(hacker); en.wikipedia.org/wiki/Markus_Hess; archive.org (36C3 talk «The KGB Hack: 30 Years Later», 2019); Phrack Magazine #25 (1989, «News From The KGB/Wily Hackers»)

Главный секрет дела Левина

Левин не взломал Citibank.

Это важно понять. Группа петербургских хакеров под псевдонимом ArkanoiD в 1994 году обнаружила что системы Citibank не защищены. Они провели несколько недель изучая структуру банковских сетей дистанционно. Устанавливали и запускали игры на серверах банка - и оставались незамеченными.

Принцип работы: все коммуникации шли через сеть X.25 (не через интернет). Citibank в тот момент допускал взаимодействие клиентов с банком в открытом тексте, без шифрования. Это позволяло перехватывать учётные данные клиентов в процессе передачи.

Один из участников группы продал доступ Левину за 100 долларов наличными.

Левин купил готовую инструкцию и набор учётных данных клиентов. По словам ArkanoiD, Левин «не являлся хакером» - это был обычный системный администратор, который сумел получить готовые данные и ими воспользоваться.

Технический разбор

Сеть X.25: стандарт пакетной передачи данных, распространённый в 1970-80-х. Не интернет, а закрытые коммерческие сети. SPRINT (через которую работал Левин по версии ряда источников) - один из узловых операторов X.25 в то время.

Уязвимость: передача учётных данных в открытом виде (plaintext). Официальная позиция Citibank после дела: «Мы считаем, что Левин подключался к сети и ловил те случаи, когда клиенты общались с банком открытым текстом, без кода. С тех пор мы это запретили».

Схема операции:

1. Перехваченные логины/пароли корпоративных клиентов

2. Подключение с петербургских компьютеров через X.25/SPRINT

3. Инициирование wire transfer (банковского перевода) от имени клиента

4. Счёт получателя - подконтрольная структура в одной из стран

Получатели переводов: Финляндия, Нидерланды, Германия, Израиль, США, Швейцария. Мулы - люди снимавшие деньги - действовали в разных странах.

Первый перевод: ~400-500 тысяч долларов другу в Хельсинки. Деньги сняли. После этого Левин продолжил.

Как поймали: банк обнаружил мошенничество после первых двух переводов и сообщил в ФБР. Дальнейшие операции ФБР отслеживало в реальном времени - часть «переводов» были «dummy» (пустышки), деньги реально не уходили. Мулов арестовывали по одному. Левина в России арестовать не могли - его действия там не были преступлением.

Экстрадиция: каким-то образом Левина выманили в Лондон. 3 марта 1995 года арестован в аэропорту Станстед. В США экстрадирован в сентябре 1997 года.

Юридический разбор

В России: на момент совершения преступления (1994) - в российском УК нет статьи о компьютерных преступлениях. Действия Левина в России формально не являлись преступлением. Прокуратура Санкт-Петербурга возбудила дело о мошенничестве - это единственное что было доступно.

В США: Левин осуждён в феврале 1998 года. Признал вину по одному эпизоду сговора с целью мошенничества. Три года тюремного заключения (уже отбытых к тому времени под стражей), штраф 240 015 долларов.

Почему такой маленький срок: Левин согласился помочь следствию установить пятерых других участников. По словам специалиста по ИБ Сергея Труханова: «Левину в США дали маленький срок, потому что поняли, что он в этой системе последнее звено».

Интересный прецедент: Citibank не хотел широкого процесса который мог нанести ущерб имиджу банка. В обмен на признание вины Левиным прокуратура отказалась от более широкого расследования. Это сделка о признании вины (plea bargain) в действии.

Последствия для индустрии

После взлома Citibank обновил системы безопасности: внедрил Dynamic Encryption Card - физический токен аутентификации. Это прямой предок современных аппаратных токенов (RSA SecurID, YubiKey).

Хакер Kasara в интервью Коммерсанту: «Он помог банку - там усилили систему защиты и навели порядок с безопасностью. Сейчас его никто не взламывает, да и смысла нет, так как вокруг полно не менее интересных мест».

Подводные камни

100 долларов за доступ. Самый дорогостоящий взлом 1994 года начался с покупки инструкции за 100 долларов. Это не о технических способностях атакующего - это о том что знание и доступ монетизируются отдельно от умения взламывать.

Открытый текст в финансовой сети. Крупнейший банк мира в 1994 году передавал учётные данные корпоративных клиентов без шифрования. После взлома это исправили. Цена урока - 10 миллионов долларов и репутационный ущерб.

Юрисдикционная асимметрия. Левин совершал преступление из страны где это не было преступлением, против банка другой страны. Это та же конструкция что в 2016 году - инсайдер в Казахстане, исполнители в России. Механизм не изменился.

Мулы как слабое звено. Технически операция была почти безупречна. Поймали через мулов - людей которые физически снимали деньги. Их арестовывали один за другим, и цепочка вела к Левину. Слабое место любой финансовой схемы - последняя миля обналичивания.

Ссылки: kommersant.ru/doc/193368 (приговор 1998); kommersant.ru/doc/191161 (признание вины 1998); lenta.ru/articles/2005/11/02/levin/ (расследование 2005); habr.com/ru/companies/macloud/articles/552866/; en.wikipedia.org/wiki/Vladimir_Levin_(hacker); tass.ru/info/4426061

Источники: Реферат по уголовному праву (rb.asu.ru); CNews Club; множество академических источников по истории компьютерных преступлений в России

Почему именно ВЭБ и именно 1991

Внешэкономбанк работал с иностранной валютой и международными расчётами - это означало что его системы были более компьютеризированы чем обычные советские банки. SWIFT, международные переводы, электронные платёжные инструкции - всё это требовало автоматизации.

Одновременно контроль и регуляция ослабли - государственная система рушилась, сотрудники не понимали кому подчиняются, аудиты не проводились или проводились формально.

Идеальный момент для атаки: высокая компьютеризация + максимальный управленческий хаос.

Технический разбор

Точные технические детали этого дела в открытых источниках не сохранились - советская традиция замалчивания инцидентов сработала и здесь. Однако по косвенным данным и контексту эпохи можно восстановить вероятную картину.

В 1991 году банковские системы в СССР работали на мейнфреймах серии ЕС ЭВМ (советский аналог IBM System/360-370) или на ранних персональных компьютерах (IBM PC-совместимые). Международные расчёты проходили через SWIFT - систему которая использовала выделенные линии и специализированные терминалы.

Наиболее вероятный вектор атаки для того времени: инсайдерский доступ к терминалу SWIFT или к программе формирования платёжных поручений. Злоумышленник мог: либо работать в банке сам, либо иметь сообщника внутри.

Почему 125,5к а не 500к+: первая транзакция прошла, остальные были заблокированы. Это говорит о том что либо банк обнаружил мошенничество после первого перевода, либо получатели были арестованы при попытке обналичивания - как это произойдёт позже в деле Левина.

Юридический разбор

1991 год. Российский УК всё ещё советский, с поправками. Статей о компьютерных преступлениях нет. Дело рассматривалось московским судом, согласно источникам - но по какой именно статье и с каким приговором, в открытых источниках не фигурирует.

Вероятно применены статьи о мошенничестве или хищении - по аналогии с вильнюсским делом 1979 года. Но теперь речь идёт о валютных операциях, а это в советском праве дополнительная отягчающая.

Это дело стало прецедентом который заставил российских законодателей начать работу над специальными нормами. В 1992-1994 годах начинаются первые попытки разработать законодательство в сфере компьютерных преступлений - которое выйдет в виде гл. 28 УК РФ только в 1996 году.

Подводные камни

Переходный период как окно уязвимости. Смена власти, смена регуляторов, смена управленческих структур - всё это создаёт период когда никто не несёт реальной ответственности за безопасность. Это не советская специфика - это универсальный паттерн.

Международный компонент. Хищение в долларах с международного банка - это уже два государства, две юрисдикции, SWIFT как третья сторона. Это прообраз той конструкции которую использует Левин тремя годами позже.

Масштаб vs. техника. В 1991 году сумма 125к долларов - огромные деньги. Но технически это скорее всего была ручная операция с использованием легитимного доступа, а не сложный взлом. Это важно: первые банковские киберпреступления были не о технике. Они были об инсайдерском доступе. Технический взлом пришёл позже.

Ссылки: rb.asu.ru (академический реферат по компьютерным преступлениям); cnews.ru; множество источников по истории российского киберправа

Контекст: кто такой Уртембаев

Мурат Камухаметович Уртембаев, род. 31 мая 1955, Алма-Ата. Окончил механико-математический факультет МГУ в 1978 году. По распределению - на АвтоВАЗ, в систему управления автоматической подачей узлов на конвейер.

Через год приехала жена - выпускница филфака МГУ. Работу в Тольятти не нашла. Семья в сложном материальном положении. В декабре 1980 предложили командировку в Норвегию - с условием отработать ещё 2-3 года. Отказался из-за семьи.

В 1982 году на аттестации обещанное повышение до старшего инженера не состоялось. Это была точка.

Технический разбор

Система: автоматизированная система управления (АСУ) подачи механических узлов на конвейер АвтоВАЗа. Сборочный конвейер - это жёстко синхронизированный процесс: каждая деталь должна поступить на нужную позицию в строго определённое время. Задержка даже в секунду ломает весь ритм.

Вектор атаки: инсайдерский доступ без логирования изменений.

Схема работы была следующей - программист, если считал нужным, вносил изменения в ПО, но не оставлял никаких данных или отметок о внесённых изменениях. Отсутствие системы контроля версий и аудит-лога изменений. Любой программист мог модифицировать систему и остаться незамеченным.

Что именно сделал Уртембаев:

Он разработал патч к основной программе-счётчику, отмерявшей циклы подачи узлов на линию конвейера. Патч сбивал ритм счётчика - заданная деталь поступала на конвейер с опозданием.

Современная классификация: логическая бомба (logic bomb) - вредоносный код с отложенным срабатыванием по условию (в данном случае - по времени/счётчику).

Тест на полигоне: Уртембаев предварительно протестировал патч. Внёс изменения, дождался подхода к триггеру, скорректировал - никто не заметил. Это значит он провёл полноценное тестирование атаки на продуктивной системе. Отсутствие мониторинга позволило.

Алиби: он назначил активацию на день выхода из отпуска. План был героически обнаружить и устранить сбой, получив премию. Именно так работала «элита программистов» УОП - группа коллег которая регулярно создавала сбои и сама их ликвидировала, получая за это дачи, квартиры, автомобили.

Что пошло не так: программа активировалась раньше на несколько дней. Уртембаев был в отпуске. Сбои начались 22 ноября в 16:00, затем в 19:00, затем в 20:00. Все три нитки конвейера встали глухо. Приехал его начальник Кабанов, собрали программистов - Заволковского, Пониманского, Ливертовского. Все сегменты вылетали хаотично, кроме одного - сегмент Уртембаева работал безупречно. Это и стало зацепкой.

Уртембаев стоял рядом и молчал. К нему вопросов не было. Потом сам признался.

Побочный сюжет: элита и КГБ

После признания Уртембаева областное управление КГБ провело расследование. Выяснилось: он не один такой. «Элита» УОП годами создавала сбои и их же устраняла. На этом заработали дачи, квартиры, машины. Нашли вредоносные фрагменты в других программах - но доказать факты использования не удалось. Формально нет события, нет состава.

Это первый зафиксированный в СССР случай того что сегодня называют «схема искусственного создания инцидента» - когда сотрудник сам создаёт проблему, которую сам же героически решает.

Юридический разбор

Статьи за компьютерные преступления в УК РСФСР нет. Прокуратура нашла ближайший подходящий состав: ч. 2 ст. 98 УК РСФСР - «умышленное уничтожение или повреждение государственного или общественного имущества».

Адвокат Уртембаева Вячеслав Московский опротестовал это решение: статья 98 говорит о материальных ценностях, а программный код к ним не относится. Формально - правильный аргумент.

Суд: полтора года условно, подписка о невыезде, перевод в слесари на конвейер, возмещение ущерба в сумме стоимости двух «Жигулей».

Итог для правовой системы: прецедент создан, но размытый. Суд осудил человека за действие, юридической нормы для которого не существовало. Это «резиновая» квалификация - подогнали под имеющееся. Пройдёт 14 лет прежде чем в УК появится профильная статья.

Подводные камни

Отсутствие аудит-лога изменений ПО. Программист мог менять систему без следов - это корень проблемы. Сегодня это называют отсутствием Change Management и Code Review. В АСУ ТП 1982 года это была норма.

Тестирование атаки на продуктивной системе. Уртембаев тестировал патч на том же конвейере. Это значит атака уже происходила - просто в малозаметном масштабе. Монторинг не поймал бы это даже если бы он существовал - аномалии были слишком малы.

Культура «героического устранения». Схема «сам сломал - сам починил» работала системно. КГБ нашёл следы но не смог доказать. Это значит система поощряла такое поведение - премии за устранение инцидентов без должной верификации их причин.

Триггер по времени без failsafe. Уртембаев сделал временной триггер но не предусмотрел механизм отмены если что-то пойдёт не так. Базовая ошибка которая стоила ему свободы.

Эпилог

После отработки слесарем Уртембаев вернулся программистом на ВАЗ, потом в дочерние компании, потом уехал в Казахстан. В 2010 году работал в департаменте информационных технологий АО «Казпочта». 21 мая 2010 года умер от остановки сердца. Ему было 54 года.

Компания, в которой он работал в конце жизни - «Казпочта» - является прямым наследником той самой советской почтовой системы, чья автоматизированная система «Онега» фигурирует в первом эпизоде этой серии. Тольятти и Вильнюс замкнулись через одного человека.

Ссылки: ru.wikipedia.org/wiki/Уртембаев; habr.com/ru/companies/ua-hosting/articles/277487/; habr.com/ru/companies/ruvds/articles/902150/; techinsider.ru; profit.kz/cw/news/9804/; chaskor.ru; drive2.ru

Уязвимость была архитектурной. Одновременно существовало два учёта: компьютерный (ЭВМ «Онега») и ручной (бумажные дублирующие бухгалтерские документы). Оба работали параллельно - это стандартная практика переходного периода, когда системе не доверяют полностью и оставляют аналоговый контроль.

Именно это и создало дыру.

Несовершенство ПО «Онеги» позволяло создавать виртуальные излишки подотчётных денежных средств. Говоря современным языком: система не сводила балансы в реальном времени, и между двумя учётами существовал временной лаг. В этом лаге можно было создать «фантомные» суммы - деньги, которые по одному учёту уже выплачены (и их нет в кассе), а по другому ещё числятся доступными.

Оператор изымала эти излишки из кассы и присваивала. Механически: брала наличные. Схема работала два года.

Вектор атаки по современной классификации: манипуляция данными с использованием инсайдерского доступа + эксплуатация рассинхронизации между двумя системами учёта.

Современный аналог: примерно то же самое происходит когда сотрудник бухгалтерии выявляет расхождение между ERP и банковской выпиской и использует его до момента автосверки. Механизм тот же, масштаб другой.

Юридический разбор

Оператора осудили по ст. 92 УК Литовской ССР - хищение социалистической собственности. Специальных статей о компьютерных преступлениях не существовало, поэтому применили «ближайший» состав.

Это принципиальная проблема для всей истории советской (и ранней российской) киберпреступности: закон не успевал за технологией. Суды работали по принципу «найди похожую статью», и результаты были непредсказуемы.

Что с этим было сделано: в России профильные статьи (гл. 28 УК РФ - «Преступления в сфере компьютерной информации») появились только в 1996 году. То есть от первого зафиксированного компьютерного преступления до появления соответствующей статьи в УК прошло 17 лет.

Подводные камни этого дела

Проблема двойного учёта. Создание дублирующих систем как мера безопасности - это контринтуитивно, но дублирующая система сама создала уязвимость. Парадокс: чем больше резервных систем, тем больше поверхность атаки для того кто знает обе.

Проблема обнаружения. Преступление выявили в ходе плановой ревизии - то есть обнаружили случайно, в рамках стандартной проверки, а не в результате целенаправленного расследования. Два года никто не замечал. Сколько аналогичных схем не были обнаружены никогда - неизвестно.

Проблема огласки. Государство не хотело публичности: признавать уязвимость советской вычислительной системы было политически неудобно. Это первый задокументированный случай того что позже назовут «культурой замалчивания инцидентов» - паттерна который не исчез по сей день.

Связь с современностью

Манипуляция данными в переходный период между двумя системами - это не исторический курьёз. Именно в такие моменты:

• компания переходит с одной ERP на другую

• банк мигрирует с legacy-системы на новую платформу

• оператор связи обновляет биллинг

...возникают окна рассинхронизации. В 1979 году их эксплуатировали вручную, сегодня - автоматизированными скриптами. Механизм идентичен.

Ссылки: Академическая статья КиберЛенинка «Компьютерные преступления: сущность, особенности и возможности предотвращения»; CNews Club; arkhangelsk-news.ru (разбор трёх знаковых советских дел, 2025)