Он — украинец, родом из Северодонецка. Он почти два года сидит в Нидерландской тюрьме, а последний месяц вообще в изоляторе 3×3 метра. Власти США называют его очень опасным хакером, от которого пострадали миллионы людей. Но кто он на самом деле? Мы провели несколько эксклюзивных интервью и узнали интересные детали.
Он — украинец, родом из Северодонецка. Он почти два года сидит в Нидерландской тюрьме, а последний месяц вообще в изоляторе 3×3 метра. Власти США называют его очень опасным хакером, от которого пострадали миллионы людей. Но кто он на самом деле? Мы провели несколько эксклюзивных интервью и узнали интересные детали.
Громкая история об украинском айтишнике Марке Соколовском прозвучала в американских медиа в 2022 году, сразу после начала полномасштабной войны с россией.
Как утверждалось, 26-летний украинец был задержан в Нидерландах. Там он ожидал экстрадицию в Соединенные Штаты по очень серьезному обвинению. Якобы он был основным разработчиком Raccoon, популярного вредоносного программного обеспечения, которое помогало похищать пароли и финансовые данные более двух миллионов жертв киберпреступников.
Прокурор США в Западном округе Техаса обнародовал обвинительное заключение, в котором Марко Соколовский назван основным разработчиком бизнеса Raccoon Infostealer, рекламировавшимся на нескольких русскоязычных форумах о киберпреступности, таких как Exploit.in, начиная с 2019 года.
Raccoon был платным веб-сервисом: за $200 в месяц клиенты могли получить последнюю версию вредоносного ПО Raccoon Infostealer и взаимодействовать с зараженными системами в режиме реального времени. Эксперты по безопасности говорили, что пароли и другие данные, украденные вредоносным программным обеспечением Raccoon, часто перепродавались группам, занимающимся развертыванием программ-требителей.
Сотрудничая со следователями в Италии и Нидерландах, власти США изъяли копию сервера, используемого Raccoon, чтобы помочь клиентам управлять своими ботнетами. По данным Министерства юстиции США, агенты ФБР идентифицировали более 50 миллионов уникальных учетных данных и форм идентификации (адреса электронной почты, банковские счета, адреса криптовалют, номера кредитных карт и т. п.), похищенных с помощью Raccoon.
ФБР создало веб-сайт, где любой может ввести свой электронный адрес, чтобы определить, находится ли он в хранилище похищенных данных Raccoon Infostealer.
По данным американского ресурса Krebsonsecurity.com, американские расследователи воспользовались операционной ошибкой в безопасности, которую разработчик Raccoon совершил в начале своих публикаций на криминальных форумах — подключил учетную запись Gmail для идентификации на форуме о киберпреступности, которую использует разработчик Raccoon («Photix»), с аккаунта Apple iCloud, якобы принадлежащего Соколовскому.
«Приблизительно в декабре 2018 года Соколовский зарегистрировал SSL-сертификат, который в апреле 2019 года использовался на одном из веб-доменов, на котором размещен Raccoon», — сообщает сторона обвинения.
У Марка своя точка зрения по поводу случившегося на самом деле и свои доводы.
«Меня обвиняют в интеллектуальном преступлении, не предъявив мне ни одного доказательства. Моей позицией никто ни разу не интересовался. В судах учитывались только голословные позиции прокурора… Программа, в написании которой меня обвиняют, написана на С (язык программирования). С — это очень сложный язык программирования и требует большого количества знаний и опыта, которых у меня нет! Я не могу написать программу на языке, которым не владею. Это ведь легко проверить!!!», — отмечает Марк в одном из своих обращений в суд.
В материалах есть показания Марка, где он указывает, что у него 4–5 лет назад произошел конфликт с россиянами, занимавшимися незаконной деятельностью. Парень якобы отказался участвовать в ней, он сознательно дистанцировался от этих лиц. Он не исключает, что потом эти лица говорили о нем отрицательно или пытались представить его в ложном мире.
«Америка предлагала Марку сдать группу хакеров, они писали в обвинении, что он лидер хакерской группы. Но Марку некого сдавать, он у нас асоциальный», — написала нам мать Марка.
По ее словам, Марк поначалу хотел идти на суд присяжных. Но теперь не уйдет, потому что он боится, что в США ему грозит 47 лет заключения. Ибо на состоявшейся в Техасе в 2022 году конференции «его без суда и доказательств сделали виновным».
Поэтому сейчас родственники Марка и сам парень пытаются сделать так, чтобы он остался в Нидерландах и не был выслан в Соединенные Штаты.
Адвокаты украинца пытались добиться того, что его отпустили под домашний арест в Нидерландах, собрали для этого все необходимые составляющие. Но американская сторона была резко против.
Обвинение считает, что Марк имеет достаточные финансовые ресурсы для возможного бегства.
Якобы Марк имеет свободный доступ к сотням тысяч долларов в криптовалютных активах, к которым он мог легко получить доступ, если бы его выпустили.
СОСТОЯНИЕ МАРКА
Марк Соколовский уже почти два года находится в СИЗО Заанстада в Нидерландах. Причем в последний месяц он сидит в карцере. По словам его мамы, Елены Нехаевой, с которой пообщался журналист dev.ua, карцер — это комната 3×3, с холодным полом, где спит ее сын.
«На Рождество ему дали заплесневелый хлеб», — говорит в телефонном разговоре Нехаева.
По ее словам, у Марка во время заключения обострились хронические заболевания.
Как рассказывает Нехаева, в карцер парень попал из-за того, что принял большую досу парацетамола. «Ему сказали в СИЗО, что «готовься, утром за тобой прилетит самолет из Штатов», — вспоминает мать. Парень очень боялся экстрадиции, якобы из-за того, что в Америке он может получить пожизненный срок заключения. Поэтому решил наглотаться таблеток.
«Он весит 59 кг. Если не принять меры, он может умереть или сойти с ума. Его ограничили во всем, даже библию не дали», — пишет Нехаева.
Психологический стресс Марка перерос в острую депрессию и привел к его желанию причинить себе вред (сломать ноги), чтобы «попасть в больницу и немного отдохнуть». В изоляторе у задержанного случился нервный срыв, что привело к травме и кровоизлиянию в глаз и частичной потере зрения.
Как пишет адвокат Марка, медицинская помощь в связи с травмой глаза ему вовремя не была предоставлена и не предоставляется до сих пор, зрение не восстанавливается. Единственной реакцией медицинского персонала на его потерю зрения из-за физической травмы было назначение очков.
Пять лет назад, в канун Нового года Марк стал жертвой сверх бессмысленного насилия в Северодонецке. Он был жестоко избит на местной дискотеке и получил множественные переломы носа и области вокруг левой глазницы. Поэтому в черепе парня установлены специальные пластины и цепи, которые поддерживают челюсть.
Во время пребывания в тюрьме Марк начал жаловаться, что имплантированные в череп пластины начали давить, и это влечет за собой постоянную головную боль. Парень писал, что у него из носа периодически идет кровь. Он чувствовал боль в области сердца и страдал от панических атак. Кроме этого, в тюрьме у него обострились кожные заболевания, появились язвы по всему телу и начали кровоточить.
С рождения Марк также страдает расстройствами в центральной нервной системе.
Мать парня говорит, что никакого лечения почти за 2 года в тюрьме Марк не получал. Все ограничивалось только визитами врача к нему и парацетамолом, который он принимал в большом количестве.
КТО ТАКОЙ МАРК
Расскажем историю Марка с самого начала.
Итак, Марк Соколовский родился в Северодонецке 30 января 1996 года. Его родители развелись примерно в 2000 году. Парень продолжал жить в родном городе до 2013 года. Затем он переехал в Харьков, где поступил в университет.
Получил степень бакалавра по менеджменту. Затем изучал информатику в течение 1,5 лет и получил степень магистра. Обучение парень совмещал с работой. Начал работать в возрасте 16, в 2012 году.
Марк жил в Харькове со своей матерью и младшим братом. Как утверждается, он купил квартиру вместе с матерью.
КВАРТИРА
В материалах американского обвинения есть фото, где Марк держит кучу денег. Эту фотку любили использовать американские СМИ: вроде посмотрите, как когда-то везло этому парню, а теперь все совсем иначе.
Но как объясняет адвокат, на самом деле деньги, с которыми был сфотографирован Марк, были собраны для покупки квартиры в Харькове. Утверждается, что часть средств Соколовский ссудил. Факт долга (555 000 гривен) подтверждает нотариальный договор ипотеки. Парень обязан вернуть долг за 10 лет. Деньги одалживал близкий родственник, который доверял Марку.
НИДЕРЛАНДЫ
Когда россия вторглась в Украину 24 февраля 2022 года, Соколовский жил в Харькове, который подвергался мощным артиллерийским обстрелам со стороны российских войск.
В американских медиа утверждается, что расследователи следили за аккаунтом Соколовского в iCloud, неделями наблюдали, как он курсирует между Харьковом и Киевом. Но 18 марта 2022 его телефон внезапно появился в Польше.
«От польских пограничников следователи узнали, что Соколовский скрылся из Украины на Porsche Cayenne вместе с молодой блондинкой, оставив мать и других родных. Изображение в верхней части этого сообщения было предоставлено американским следователям польскими пограничниками. На нем видно, как Соколовский уезжает из Польши в Германию 18 марта», — пишет krebsonsecurity.com.
Однако защита Марка дала разъяснение — почему Марк уехал в Европу: по задаче благотворительной организации «Милосердие», где работала его мать, он поехал за бронежилетами для украинских военных. Блондинка — это была девушка Марка — Олеся.
Семья парня — мама и брат — тоже очень скоро перебралась в Нидерланды.
«Я живу в Нидерландах со второго дня ареста Марка, с 21.03.2022. Я не планировала уезжать из Украины. У меня есть фонд („Милосердие“), который успешно работал. Я заботилась о социальном населении. Когда началась война — быстро перестроились в помощь находящимся на передовой ребятам. Марк мне со своими ребятами помогал», — рассказывает Нехаева, мать Марка.
Что касается военной службы, то, как утверждают адвокаты, Марк Соколовский не мог убежать от военной службы, поскольку он от нее освобожден. Это подтверждает копия временного удостоверения военнообязанного его имени.
Правда, в копии временного удостоверения военнообязанного, которую передала редакции Елена, указано, что Марк непригоден в мирное время и ограничен в военное время.
Но адвокаты уверяют, что снятие с военного учета якобы фиксируется в информационной базе, используемой Государственной пограничной службой Украины.
«Марк Соколовский официально пересек государственную границу Украины», — утверждают адвокаты.
АРЕСТ
По словам мать Марка, в день задержания сына, полицейские в штатском обыскали и находившуюся в другом месте его спутницу Олесю.
«Грубо отобрали личный телефон, скачали всю информацию и приобщили к обвиняемому Марку, выдав ее как личную Марка». Полиция, по словам госпожи Нехаевой, конфисковала сохранение и гаджеты Олеси и Марка. Это деньги в разных валютах на сумму $17 000.
«Леся попросила допустить свое присутствие при осмотре отобранных вещей. Ей было отказано», — пишет мать Марка.
Интересный факт: 25 марта, через несколько дней после ареста Марка, Raccoon Stealer опубликовал в даркнете сообщение о закрытии сервиса:
«Уважаемые клиенты, к сожалению, из-за „спецоперации“ нам придется закрыть наш проект Raccoon Stealer. Членов нашей команды, отвечавших за критические моменты в работе продукта, больше нет с нами».
Не разъяснялось, какие именно члены команды подразумеваются и куда они девались.
АВТО
В материалах дела также есть показания парня о том, как ему достался люксовый автомобиль, фото которого публиковали американские СМИ.
Итак, Марк выкупил машину в Техасе на аукционе за $19 978. Это был тип Porsche Cayenne со значительными повреждениями передней части двигателя. Затем ввез ее в Украину, где отремонтировал.
РАБОТА
В материалах дела есть прямая речь Марка, где он рассказывает о своей деятельности в ИТ следующим образом:
«Я руководитель группы из 10 специалистов, много лет работающих в Нидерландах. У меня хорошие отношения с моим начальником. Мне разрешили зарегистрироваться в его адрес. Американские власти просят моего сотрудничества. Я хочу сотрудничать, но не хакер…
Я могу доказать это. Технически мне очень легко доказать это, но не тогда, когда я заключенный. Я совсем не собираюсь убегать. Я понимаю, что есть только один вариант — доказать свою невиновность. Я хочу и могу это сделать, но я должен это сделать».
Марк работал в харьковской ИТ-компании Stellar Kharkiv Group, владельцем которой является нидерландская NG Blue Networks Group (независимый от инфраструктуры бизнес-провайдер Интернет-услуг в Нидерландах). Он работал на позиции тимлида и руководил командой из 10 разработчиков. Зарплата — $4000, не считая премий.
О том, над какими проектами работал Марк, рассказывает в письме премьер-министру Нидерландов Марку Рютте.
Он является руководителем разработчиков проектов (программ, приложений, порталов), действующих в Нидерландах: InfraOrders, InfraLogin, ProjectCoin. «После ареста моего сына разработка программы WebRTC находится в статусе замороженной, потому что голландцы не смогли найти специалиста, способного продолжить и завершить этот проект», — пишет Елена премьер-министру. Марк разработал набор программных инструментов eDoktrina для американских школьников.
«Прежде чем пригласить Марка Соколовского на работу в нашу компанию и доверять ему, мы изучили его биографию, после чего решили заключить с ним договор о сотрудничестве. Марк не имеет вредных привычек, он никогда не был связан с криминальными структурами и нет судимостей. За время работы в нашей компании он зарекомендовал себя как честный, исполнительный, добросовестный и не подверженный правонарушениям сотрудник», — пишет основатель компании NG Blue Networks Якоб Лиер в обращении в суд.
Лиер подтвердил в письме, что Марк приехал в Нидерланды в командировку по заданию благотворительного фонда «Милосердие», чтобы договориться о покупке бронежилетов.
Также целью его визита были переговоры с нашей компанией и обсуждение дальнейших условий для продолжения работы Марка в команде. В связи с войной в Украине мы приостановили деятельность филиала Stellar Kharkiv Group в Украине и запланировали дальнейшее сотрудничество с Марком Соколовским в Нидерландах», — говорится в письме.
Редакция dev.ua пообщалась с Якобом Лиером по видеосвязи. Он рассказал любопытный факт. Якоб нанимал Марка как PHP-программиста. О том, что команда Марка программировала на PHP, заявил редакции на условиях анонимности и один из экс-коллег Марка. У них не было данных, владел ли Соколовский языком С/С++.
Господин Лиер говорит, что он уверен на 100%, что Марк не совершал преступления, которые ему инкриминируют. Он допустил, что у парня просто не было бы времени, чтобы заниматься чем-нибудь другим, кроме основной работы.
Лиер добавил, что американское обвинение базируется на том, что нашла в цифровых записях Марка строку кода Raccoon. Он подчеркивает, что парень мог скачивать разные данные на компьютер еще из университета, изучать их. Но, по словам экс-работодателя, это совсем не доказывает, что Марк использовал этот код в злых намерениях.
«Наверное, если покопаться на компьютере и у меня, то можно было бы найти какой-нибудь вредоносный код. Но это не значит, что я хакер», — говорит он.
Якоба Лиера удивляет тот факт, что Марка почти два года удерживают в изоляторе. Обычно в Нидерландах такого не происходит — люди там находятся максимум месяцы.
Мать Марка беспокоится о том, что американские медиа намеренно сделали Марку негативный имидж: украинец, который во время войны убегал с деньгами и девушкой из Украины. Она хочет обжаловать подобные публикации, потому что считает, что вина ее сына не доказана.
Остается непонятным единственный вопрос: если Марк действительно не совершал тех инкриминирующих ему преступлений, тогда зачем это так упорно пытаются доказать власти Техаса и расследователи ФБР? Может ли быть такое, что Марк — случайная жертва, которая просто когда-то зашла на тот сайт и загрузила не тот код? Судьба сыграла с украинским программистом в «русскую рулетку» или эти обвинения все же не безосновательны?
Нет ответов.
С другой стороны, если вина пока не доказана, можно ли держать почти два года человека в тюрьме?
И последнее: а что было дальше с Raccoon Stealer?
Удивитесь, но почти ничего необычного. Через некоторое время после исчезновения ключевых членов команды Raccoon объявил о выходе новой версии вредоносного ПО в 2023 году. «Несмотря на арест оригинального создателя Racoon в октябре 2022 года, новая команда быстро взяла на себя контроль над разработкой проекта», — написали эксперты Hitachi Systems Security, компании, которая занимается кибербезопасностью.
Эта история будет продолжена.
Возможно, мы получим возможность пообщаться с Марком, возможно, нам удастся выйти на американских расследователей.
