Мстительный финский парень
История самого известного хакера Финляндии, чьи преступления власти сравнивали с терроризмом
В Финляндии завершился едва ли не самый громкий процесс в современной истории. Молодого хакера Алексантери Кивимяки признали виновным в потрясшем всю страну взломе крупнейшей сети психотерапевтических клиник. Тогда в интернете оказались записи бесед врачей с 33 тыс. ее клиентов. До самого последнего дня решение суда не было таким уж предрешенным: большинство улик, которые собрали следователи, были скорее косвенными.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
Мстительный подросток
30 апреля финский суд приговорил к 6 годам и 3 месяцам тюремного заключения, пожалуй, самого известного финского хакера — 26-летнего Алексантери Кивимяки. Прокуратура обвиняла его в совершении самого громкого и масштабного в современной истории страны преступления — взлома сети психотерапевтических клиник. Несмотря на то что обвиняемый не признал своей вины, а доказательства, собранных следователями, зачастую носили косвенный характер, суд согласился с прокуратурой в том, что именно он, Алексантери Кивимяки, мог действовать так злобно, дерзко и глупо. Чему свидетельство — вся его прошлая жизнь.
Алексантери Юлиус Кивимяки родился в 1997 году в городе Эспоо, пригороде Хельсинки. Про ранние годы жизни и родителей будущего хакера сведений не так уж много.
Известно, что он не окончил среднюю школу и еще в подростковом возрасте привлек к себе внимание полиции. Причем не банальными подростковыми драками или хулиганством, а именно как киберпреступник.
Тогда Кивимяки все время проводил на хакерских форумах и даже примкнул к известной во всем мире группировке Hack the Planet (HTP). Правда, вскоре он поругался с еще одним ее участником, американским подростком Блэром Стрейтером. В результате их обоих выгнали из группы (Кивимяки — временно).
Горячий финский мальчик начал мстить американцу — так, как это мог сделать хакер. Сначала на домашний адрес Стрейтера в Иллинойсе стали в самые неурочные часы приносить то пиццу, то китайскую еду. А когда финну надоело снабжать своего противника пиццей, то на подъездной дороге к дому семьи Стрейтера выгрузили три тонны гравия.
Конечно, тоже с приветом от Кивимяки. Потом у Стрейтеров отключили электричество и интернет. Потом во взломанном аккаунте корпорации Tesla в Twitter разместили их номер телефона и адрес с пометкой, что каждый позвонивший или пришедший к ним домой получит бесплатный автомобиль.
И это было только началом многолетнего преследования. Стрейтеру регулярно звонили с разных номеров с угрозами. Потом стали звонить в местную полицию — в одном из случаев робот от лица Стрейтера «признался» в убийстве своей девушки и планах убить родителей и взорвать квартал.
С его электронной почты в местную полицию направили письмо с угрозой взорвать бомбу — после этого Стрейтер три недели просидел под стражей. Его мать уволили с работы после того, как ее соцсети были взломаны и в них разместили расистские и антисемитские высказывания.
Сам Кивимяки потом говорил про травлю Стрейтера, что это была «командная работа», а он лично участвовал в ней совсем нечасто: пару раз позвонил и отправил пиццу.
Хакеры-ящерицы
Позже Кивимяки вступил в другую известную группировку хакеров — Lizard Squad. Некоторые считают его чуть ли не лидером группировки, сам же Кивимяки говорил, что «его участие было довольно незначительным», а в Lizard Squad было намного больше талантливых людей. Кстати, каким-то гениальным хакером самого Кивимяки никто не называет — скорее, очень упорным и зацикливающимся на том, чтобы досадить своим жертвам.
Среди «достижений» группировки — атаки на серверы игры League of Legends, а также популярных игровых платформ Microsoft Xbox, Sony PlayStation и Twitch.
Одна из акций Lizard Squad — DDoS-атака на серверы Xbox Live и PlayStation Network. Причем именно на Рождество 2014 года — чтобы досадить новым обладателям игровых консолей и игр, мечтавших в них тут же поиграть. После этого Кивимяки даже дал короткий комментарий британскому телеканалу Sky News, заявив, что так он «заставил детей провести время с семьями, вместо того чтобы играть».
Еще в 2013 году деятельность Кивимяки привлекла внимание американского ФБР. Тогда он прилетел в Лас-Вегас на конференцию по кибербезопасности Black Hat. В какой-то момент в его номер в отеле ворвались агенты бюро, конфисковали смартфон и ноутбук и потребовали больше не появляться в США.
Парой месяцев позже обыск прошел уже дома у Кивимяки, в Финляндии. Тогда полиция обнаружила, что он вместе с другими хакерами взломал более 50 тыс. серверов. Они воровали данные, нарушали работу серверов, создавали из них ботнеты. В 2015 году Кивимяки даже вынесли приговор, правда, очень мягкий — два года условно и штраф менее €7 тыс.
А Кивимяки продолжал мстить тем, кто его обидел. Например, девушке, которая отказалась с ним общаться, поступил звонок якобы от отца, который сказал, что собирается совершить самоубийство.
Однажды он «сообщил» о бомбе на борту самолета American Airlines, на котором летел глава Sony Online Entertainment Джон Смедли. Самолет посадили, Смедли подвергли унизительному допросу: именно на него как на террориста указал Кивимяки.
Кивимяки, конечно, зарабатывал на хакерстве, но его и других членов Lizard Squad больше интересовали слава и громкие акции. По словам Эллисон Никсон, директора по исследованиям компании Unit 221B, занимающейся кибербезопасностью, Кивимяки и Lizard Squad стали культовыми для некоторых подростков и популяризовали хакерские атаки в их среде.
После суда в Финляндии Кивимяки уехал из страны. Он переезжал с места на место, жил в Великобритании, Испании, Гонконге и Румынии. Считается, что в это время он вел блог под ником ryanlol: рассказывал о хакерских методах, роскошном образе жизни, криптовалютах и придумывал гипотетические сценарии терактов. Свое авторство он, конечно, отрицает.
Психотерапевтический скандал
Настоящая слава пришла к Кивимяки в 2020 году. Ему было 23 года, и он совершил крупнейший взлом в истории Финляндии: взломал систему крупнейшей в стране сети психотерапевтических клиник Vastaamo.
Vastaamo была своего рода маркетплейсом для психотерапевтов и их клиентов. Клиентам она позволяла легко и недорого находить специалиста, психотерапевтам — искать клиентов и упростить решение административных вопросов. А еще у Vastaamo было приложение, позволявшее вести заметки во время сеансов.
Эти крайне личные данные и оказались в руках хакеров. 28 сентября 2020 года на электронную почту руководства компании пришло письмо с требованием выкупа.
«Любая цена, которую вам придется заплатить нам, будет небольшой в сравнении с ущербом, который будет нанесен вашему бизнесу, если мы опубликуем эту информацию в интернете»,— говорил вымогатель, требуя каких-то 40 биткойнов, то есть на тот момент — $430 тыс.
В качестве подтверждения к письму прилагалось несколько записей бесед с клиентами. Руководство Vastaamo обратилось в компанию по кибербезопасности Nixu и в Национальное бюро расследований, которое и начало переговоры с вымогателями. Они даже отправили хакеру 0,1 биткойна в качестве доказательства серьезности своих намерений.
Специалисты из Nixu пришли к выводу, что в Vastaamo халатно относились к кибербезопасности. Брандмауэры и другие системы защиты не действовали месяцами, что делало информацию клиентов доступной для хакеров.
Даже начинающий хакер, пользующийся базовыми инструментами для взлома, легко мог получить доступ к документам. Когда о такой халатности стало известно, гендиректор компании ушел в отставку.
Переговоры и расследование продолжались несколько недель, когда пользователь с ником ransom_man опубликовал 100 записей бесед с клиентами на одном из хакерских форумов. Он обещал, что каждый день будет выкладывать по 100 новых записей.
Хакеры старались выложить записи, которые вызвали бы наибольший резонанс. Отбор шел по ключевым словам — «гендиректор», «полиция» или «известный», «изнасилование», «педофилия», «фантазии об изнасиловании» и т. д.
Три дня все шло по заявленной схеме — 100 записей в день. Однако через несколько часов после третьей публикации на хакерский форум выложили все имевшиеся у вымогателей записи (более 30 тыс.).
Финляндия пережила шок. В стране с населением 5,5 млн человек каждый знал кого-то, кто знал кого-то, чьи данные были опубликованы. Правительство страны собралось на экстренное совещание, а депутат парламента Ханна Саркинен сравнила ситуацию с терактом.
Сведения, изначально опубликованные в даркнете, быстро оказались и в обычном интернете. Большая часть данных, которые растащили по разным форумам и хранилищам, по-прежнему находится в интернете.
Несколько тысяч клиентов судятся с Vastaamo. В 2021 году компанию оштрафовали на €608 тыс. Правда, к тому времени она уже обанкротилась.
По отягчающим обстоятельствам
Тем временем следователи и специалисты по кибербезопасности пытались выяснить, кто стоит за взломом и публикацией данных. Эксперты пришли к выводу, что хакеры опубликовали все сразу по ошибке: они попытались наладить ежедневное выкладывание автоматически, а не вручную, как делали это поначалу. «Чтобы совершить такую ошибку, вы должны быть невежественным и высокомерным»,— считает известный финский специалист по кибербезопасности Микко Хиппенен.
Один из сотрудников Nixu ранее работал в полиции, в том числе и по делу Кивимяки. Он обратил внимание на то, что многие файлы с документами Vastaamo носили непристойные названия — и вспомнил, что именно так делал Кивимяки.
Вскоре после публикации ransom_man стал отправлять людям, чьи имена оказались в слитых файлах, письма с предложением удалить их данные — сначала за €200, а потом за €500. Это тоже указывало на то, что взломом занимались не хакеры-профессионалы, которые после провала быстро бросили бы этот взлом и занялись новыми атаками.
В случае с киберпреступлениями довольно сложной задачей бывает доказать прямую связь конкретного человека с конкретным взломом. Тем не менее следствие нашло такие связи с Кивимяки — тем более что хакер, как понятно и из их роковой ошибки, не был слишком аккуратным.
Среди таких связей с Кивимяки: IP-адреса (в большинстве случае хакеры входили с VPN, но однажды забыли сделать это), зарегистрированная Кивимяки компания Scanifi, на серверах которой хранились некоторые из полученных в ходе взлома данных, а также отслеженное движение той самой отправленной хакерам 0,1 биткойна.
В октябре 2022 года финская прокуратура предъявила обвинение Кивимяки. А в феврале прошлого года он был совершенно случайно задержан во Франции.
Некая женщина вызвала полицию, заявив, что накануне вечером была в клубе вместе со знакомой семейной парой, муж сильно выпил, началась ссора — и теперь она беспокоится за свою подругу. Полиция ворвалась в квартиру пары и при проверке документов засомневалась, что высокий голубоглазый блондин, показавший румынский паспорт, на самом деле румын.
После проверки по базам «Европола» полицейские поняли, что перед ними — известный финский хакер Алексантери Кивимяки, давно находящийся в розыске.
Кивимяки экстрадировали в Финляндию. Финская прокуратура обвинила его во взломе и шантаже. Сам Кивимяки обвинения отрицал, заявляя в суде, что его привлекли к этому делу не из-за наличия твердых доказательств его вины, а из-за его известности.
5 февраля суд отпустил Кивимяки из-под стражи под подписку о невыезде. Правда, ненадолго — он исчез из поля зрения правоохранительных органов, а в конце февраля снова был арестован, теперь в пригороде Хельсинки. Попытка побега была столь же дерзкой, сколь и глупой. Она стала дополнительным аргументом стороны обвинения. После нее прокурор затребовал самый суровый приговор, предусмотренный законом,— 7 лет тюрьмы.
Решения суда ждала вся Финляндия, причем никто из экспертов не отваживался делать прогнозы, учитывая косвенность улик. Это подтвердил и суд, указав в своем решении, что ни одна из предъявленных улик самостоятельно не доказывала безусловно вину подозреваемого. Как, впрочем, и не исключала ее. Поэтому в принятии решения самую важную роль сыграла общая оценка суда всех предъявленных доказательств и история самого подозреваемого. В итоге суд признал молодого человека виновным во взломе с отягчающими обстоятельствами базы данных, попытке шантажа с отягчающими обстоятельствами частной компании, 9231 случае распространения (с отягчающими же обстоятельствами) информации, нарушающей частную жизнь граждан, 20745 попытках шантажа с отягчающими обстоятельствами и, наконец, 20 случаями шантажа (также с отягчающими обстоятельствами). За все это обвиняемого приговорили к 6 годам и 3 месяцам лишения свободы. В приговоре содержится оговорка о том, что он – безусловный. То есть, как отмечают эксперты, Кивимяки не удастся воспользоваться лазейкой в законодательстве (он формально не считается рецидивистом, потому что не признавался виновным в течение последних пяти лет), которая позволила бы ему выйти на свободу уже через три года.