Как глава Group IB Илья Сачков из подрядчика ФСБ превратился в обвиняемого по делу о госизмене

Еще недавно российская компания Group IB была одним из ведущих игроков на
рынке компьютерной безопасности. Она специализировалась на расследовании
киберпреступлений и получала от ФСБ многомиллионные подряды на помощь в
поимке хакеров. Сейчас основатель и генеральный директор Group IB Илья Сачков
находится в СИЗО, по статье 275 УК РФ («Госизмена») ему грозит до 20 лет
лишения свободы. На примере Group IB можно наглядно рассмотреть, как
спецслужбы занимают под свои нужды российский IT-рынок и чем для
предпринимателя может обернуться решение с ними сотрудничать.

Он получил уголовный срок, приятно было посмотреть ему в глаза

Илья Сачков утверждает, что основал компанию Group IB в 2003 году, будучи 17-
летним студентом-первокурсником МГТУ имени Баумана, под впечатлением от
прочитанной книги «Расследование компьютерных преступлений» Кевина Мандиа.
Сначала он вместе с университетскими знакомыми играл в детективное агентство
по расследованию киберпреступлений, а постепенно их деятельность приобретала
все более серьезный характер.
Когда Group IB только запускалась, по словам Сачкова, у них фактически не было
конкурентов, поэтому сайты быстро проиндексировались в интернете и попали на
первую страницу поисковиков по запросу «расследование компьютерных
преступлений».

Первым по-настоящему крупным делом стала помощь компании Leta в поиске хакеров, взломавших их сайт в 2010 году. Высоко оценивший работу Group IB основатель Leta Александр Чачава вместе со своим однокурсником Сергеем Пильцовым приобрели 50% акций компании Сачкова. Инвестиции Сачков потратил на пятикратное увеличение штата и открытие офисов в Сингапуре и Нью-Йорке.

Сейчас в компании работает более 550 человек, их средний возраст составляет 29 лет. Все сотрудники проверяются на полиграфе, чтобы удостовериться, что они не имеют «опыта неформального общения с преступностью и с правоохранительными органами». Среди клиентов указаны «Сбербанк», «Тинькофф», «АльфаСтрахование», «Ростелеком», «МТС», «Первый канал» и множество других крупнейших компаний.

Самые популярные преступления, с которыми сталкиваются работники Group IB – это похищения денег (атаки на банкоматы, кража финансов у юридических лиц и  с карточек при помощи фишинга или социальной инженерии, запуск вирусов-вымогателей в банковские системы).

Если нам дали пострадавший от атаки компьютер, сказали проанализировать
вирус, взломанный сайт, анонимное письмо, то мы дойдем до конца и сделаем
всю аналитическую работу, передадим клиенту и по его запросу
правоохранительным органам, — говорил Сачков. — Что после этого произойдет, не
наше дело. Наша задача как инженера — разобрать атаку и, если используются
наши технологии, предотвратить ее.

Согласно официальной статистике, Group IB провела более 1300 расследований по всему миру и вернула за минувшие 16 лет своим клиентам 300 миллионов долларов. Как утверждается на их сайте, Group IB «защищает клиентов в более чем 60 странах», а в число их заказчиков входят « топ-30 крупнейших банков и финансовых учреждений мира, нефтегазовые компании, поставщики программных решений, телеком операторы и FMCG‑бренды».  Выручка Group IB в 2020 году составила  384,4 миллиона рублей.

Среди крупных расследований, в которых принимала участие Group IB, поимка хакерской группировки Cron, похищавшей деньги с банковских счетов пользователей смартфонов на ОС Android, и раскрытие накруток зрительского голосования в финале программы «Голос.Дети» в 2019 году, благодаря которым в телешоу с большим отрывом победила дочь певицы Алсу. Руководство Первого канала в результате признало факт накруток и аннулировало итоги голосования.

В ноябре 2020 года Group IB открыла представительство в Амстердаме, а в мае 2021-го создала подразделение в Арабских Эмиратах. Российские же офисы компании располагаются в Москве и Иннополисе.

Сачков говорил, что его любимое расследование проходило не в России и напоминало сериал «Настоящий детектив», а когда оно закончилось, по экрану можно было пускать титры. Он вообще любил сравнивать себя с героями детективных произведений (Пинкертоном, агентом Купером, Шерлоком Холмсом) и утверждал, что просил полицейских брать его с собой на задержания:

«Мой любимый предмет — человек, который кроме того, что совершал преступления, издевался над нашими сотрудниками и троллил нас. Было очень здорово зайти к нему в квартиру и сказать „привет“. Он получил уголовный срок, в этот момент было приятно посмотреть ему в глаза».

ФСБ, «ВОР», главред журнала «Хакер», криптолокеры и Михаил Мишустин

Как совершенно справедливо отмечает The Bloomberg, для любой компании сколько-нибудь значительного размера, которая занимается кибербезопасностью в России, обязательно сотрудничество с ФСБ и внешней разведкой. «Новая газета» со ссылкой на собственные источники в спецслужбах утверждает, что к работе на чекистов Group IB привлек экс-начальник 2-го управления Центра информационной безопасности ФСБ Сергей Михайлов, «заказывая именно в этой коммерческой организации экспертизы по уголовным делам в IT-сфере».

Как пишет The Bell, в начале нулевых Group IB перестала работать на силовиков бесплатно и начала делать им экспертизы по рыночным расценкам: «В совокупности на силовиков приходилось до 20–30% проводимых стартапом экспертиз. Стоимость полноценного расследования силами команды поднялась до $200–300 тысяч. В 2011-м, утверждали Сачков и Чачава, Group-IB стала стабильно прибыльным бизнесом». В 2012-м компания получила лицензию на работу со сведениями, составляющими государственную тайну.

В 2017-ом году Михайлов вместе с руководителем отдела расследования компьютерных инцидентов «Лаборатории Касперского» Русланом Стояновым были арестованы по обвинению в государственной измене. По версии обвинения, Михайлов раскрыл американским спецслужбам подробности оперативно-розыскной деятельности по делу основателя компании ChronoPay Павла Врублевского, а Стоянов выступил между ними в качестве посредника. В феврале 2019-го суд приговорил Михайлова и Стоянова к 22 годам и 14 годам лишения свободы, соответственно.

Сачков выступал на процессе в качестве свидетеля обвинения и, по словам адвоката Михайлова Руслана Голенкова, «дал ложные показания», позволившие осудить его подзащитного.

По сообщениям источников в IT-сфере, многие руководители и топовые сотрудники IT-компаний являются действующими агентами ФСБ. Именно Сергеем Михайловым было положено начало их вербовки. Они негласно предоставляли информацию о своих клиентах и выполняли различные поручения, а ФСБ расплачивалась с ними контрактами от себя и дружественных организаций.

Согласно наиболее распространенной версии, арест самого Сачкова связан именно с делом ЦИБ ФСБ. Возможно, кто-то из его фигурантов дал показания, благодаря которым статус «расследователя киберпреступлений» сменился со свидетеля на обвиняемого. Хотя Сачков оговорил Михайлова, доверие к нему пропало, и при первой возможности от него решили избавиться.

Многие пишут, что Сачков начал казаться силовикам слишком независимым.  Как пишет The Bloomberg, его стремление вывести большую часть бизнеса за пределы России казалось им подозрительным, а The Forbes отмечает, что, занимаясь совместными расследованиями с Интерполом, попасть под статью о государственной измене очень легко:

Тебя просят предоставить данные по итогам расследования, ты их отдаешь — а потом оказывается, что внутри было что-то, чего не должны были видеть другие. Так ошибиться может кто угодно, а поскольку Илья целенаправленно ссорился со всеми, кто-то мог его ошибку подсветить.

Сачков неоднократно принимал участие во встречах с премьер-министром РФ Михаилом Мишустиным, и во время последней из них, летом 2020 года в Иннополисе, резко раскритиковал нежелание российских властей полноценно бороться с киберпреступностью:

Когда весь мир говорит о том, что господин Максим Якубец – хакер, который в Москве разъезжает на Ламборджини с номерами ВОР, является компьютерным преступником, создателем вируса Dridex, каждый инженер мира об этом знает. Компьютерная криминалистика – очень точная наука. Ни один российский государственный орган, ни полиция, ни Федеральная служба безопасности, ни МИД на это никак не отвечает

Daily Storm со ссылкой на источники в правоохранительных органах пишет, что долгое время от проблем с силовиками Сачкова защищали высокопоставленные покровители в Администрации Президента, однако недавно тот утратил их благосклонность.

Еще одна версия связывает арест Сачкова с действиями руководителя департамента сетевой безопасности Group-IB и бывшего главреда журнала «Хакер» Никиты Кислицина. В 2014 году против Кислицина в США было возбуждено уголовное дело. Американский Минюст обвинял его в том, что Кислицын пытался продать украденные его подельником персональные данные из более чем 100 миллионов аккаунтов в социальных сетях LinkedIn, Dropbox и Formspring.

Чтобы избежать тюремного заключения, Кислицин пошел на сделку со следствием и дал показания на нескольких знакомых хакеров, включая Дмитрия Докучаева, фигуранта дела Михайлова, бывшего на тот момент действующим сотрудником ЦИБ ФСБ.

В 2020 году Минюст США обнародовал данные Кислициным показания. Как следует из новых документов, Кислицын начал сотрудничество с американскими спецслужбами с согласия своего шефа, Сачкова.

Наконец, РБК пишет, что, по данным источников на IT-рынке, арест Сачкова мог быть связан с его борьбой с криптолокерами: вредоносными программами, которые шифруют данные на компьютере жертвы и требуют денег за их возврат в исходное состояние.

В конце сентября Минфин США впервые в истории ввел санкции против криптовалютной компании – принадлежащего россиянам обменника Suex. По версии американских властей Suex помогал отмывать данные создателям программ-криптолокеров, русским хакерам и наркобизнесу. Участие Сачкова в борьбе с кибермошенниками таким образом могло быть расценено как помощь недружественному государству.

— Деньги там были большие, неучтенные. Плюс есть возможность использовать данное ПО как кибероружие — так что достаточно быть просто в теме, — сказал один из собеседников РБК. 

За измену Родине

Так или иначе, в ночь с 28 на 29 сентября в московской штаб-квартире Group-IB прошли обыски, а наступившим утром Лефортовский суд Москвы арестовал Сачкова на два месяца. Сейчас предприниматель находится в статусе подозреваемого по статье «Госизмена» в СИЗО «Лефортово».  Эта статья, которая позволяет проводить по ней слушания в закрытом режиме, в последние годы становится все более употребительной по мере роста новой шпиономании. Приговоры по ней получают ученые, сотрудничавшие с зарубежными коллегами, россиянки, отправившие смс о передвижениях военной техники грузинским знакомым,

Сачкова, как и ранее арестованного по той же статье журналиста и советника главы «Роскосмоса» Ивана Сафронова, оставили без права на переписку.

Руководство предприятием в отсутствие Сачкова принял на себя сооснователь Group-IB Дмитрий Волков. Он заявил, что смена генерального директора не заставит компанию отказаться от планов по выходу на IPO (первичное публичное размещение акций).

Мать арестованного предпринимателя обратилась к Владимиру Путину с открытым письмом:

Я еще раз повторяю, что Илья не мог предать Родину, что никто не верит в его виновность. Рады и ликуют только хакеры!  Арест и наказание Ильи нанесут огромный удар по нравственному и моральному климату в стране, не говоря уже об информационной безопасности. Очень прошу честно разобраться в деле Сачкова Ильи и освободить его. Речь идет даже не о судьбе отдельной личности, а о доверии к государству.

История Сачкова представляет собой печальный и абсолютно типичный пример IT-предпринимателя, сотрудничающего с российскими спецслужбами. В десятых годах чекисты целенаправленно входили в руководство ведущих IT-компаний и использовали их инфраструктуру для организации сомнительных предприятий, включая хакерские атаки против госорганов США.

Это произошло с «Лабораторией Касперского», из которой называющие себя «орками» силовики вытеснили российских и иностранных технических специалистов. Это произошло со специализирующейся на защите от хакерских атак компанией Positive Technologies, которая подпала под американские санкции за вербовку для ФСБ студентов со способностями к информатике. То же самое произошло и с Ильей Сачковым, который, начав свою деятельность с борьбы с хакерами, принялся сотрудничать с чекистами и вскоре перешел им дорогу.

О том, как происходило сращивание IT-бизнеса и российских спецслужб, мы продолжим рассказывать в наших следующих публикациях.

Евгений Ветров