Адвокат россиянина Евгения Никулина, которого обвиняют во взломе серверов LinkedIn, Dropbox и Formspring, Мартин Садилек передал изданию «Настоящее время» документ, в котором, как утверждает юрист, содержатся письменные показания сотрудника ФБР Джеффри Миллера.

Эти показания, по словам Садилека, были озвучены в суде по экстрадиции Никулина. Выдачи россиянина добиваются Вашингтон и Москва.

Согласно документу, подлинность которого в суде не комментируют, в 2012 году LinkedIn пожаловалась ФБР на хакера, разместившего в свободном доступе около 6,5 млн паролей пользователей сервиса.

Во время внутреннего расследования в LinkedIn обнаружили «подозрительный» аккаунт одного из инженеров. Как выяснилось, сотрудник работал из дома и соединялся с корпоративной сетью с помощью VPN (удаленное шифрованное соединение по технологии Virtual Private Network, виртуальная частная сеть). Более того, он использовал виртуальную машину как веб-сервер.

Хакеру удалось установить соединение с этой виртуальной машиной и таким образом получить доступ к базе данных LinkedIn. Он также загрузил в машину специальную программу, позволяющую получать контроль над компьютером без ведома владельца.

По аналогичной схеме Никулин взламывал Dropbox и Formspring.

Пытаясь определить личность хакера, сотрудники ФБР обнаружили еще несколько взломанных аккаунтов пользователей LinkedIn и установили, что как минимум в семь из них заходили с IP-адресов, зарегистрированных на российского провайдера «Национальные кабельные сети» (сейчас принадлежит «Ростелекому»). Эти же адреса использовались для проникновения во внутреннюю сеть компании через компьютер инженера LinkedIn.

Как следует из показаний, взломщик оставил и другие улики. В частности, в восемь аккаунтов он заходил, используя один и тот же браузер. Это удалось установить по одинаковым файлам cookie и строки «user-agent» (при соединении браузер сообщает свое название, версию, а также какой операционной системой пользуется клиент).

Таким образом, ФБР пришло к выводу, что взлом компьютера инженера LinkedIn и аккаунтов сети совершался с одного и того же компьютера.

Во время взлома хакер пользовался почтой chinabig01@gmail.com. Согласно документу, ФБР получило разрешение суда на доступ к этой почте и обнаружила в ней регистрацию на сервисе afraid.org на ник «zopaqwe1».

Сервис предоставляет услуги DNS: помогает связать имена сайтов с их IP-адресами. В документе не говорится, как именно Никулин использовал ресурс. Тем не менее, по запросу суда администраторы afraid.org предоставили информацию о пользователе.

По этим данным можно было опознать его устройство (cookie) и строку идентификации браузера пользователя, которая совпала со строкой «user-agent», засветившейся при взломе LinkedIn.

Спецслужба кроме того, получила от «Национальных кабельных сетей» данные о человеке, использовавшем «засвеченный» при взломе LinkedIn IP-адрес: провайдер сообщил, что адрес принадлежал Евгению Александровичу Никулину, а также предоставил телефон и номер паспорта.

Согласно документу, первую фотографию взломщика агенты получили после того, как власти Украины передали ФБР полученные в результате обыска файлы с компьютера знакомого Никулина, еще одного хакера Александра Еременко (обвиняется в мошенничестве на бирже).

Никулин и Еременко якобы обсуждали использование бэкдоров и сервиса afraid.org, а среди файлов украинского хакера нашли несколько фотографий с названием «Женя из Москвы».

После этого спецслужбе удалось обнаружить аккаунт Никулина в инстаграме.

В октябре 2016 года ФБР задержали хакера в Праге, узнав, что Никулин несколько дней назад пересек белорусско-польскую границу и находится в Европе. Спецслужба знала номера автомобиля и паспорта россиянина, а также то, что он путешествует вместе с девушкой.

30 мая чешский суд разрешил экстрадировать Никулина. Хакера отправят либо в Россию, либо в США.

Ранее Никулин рассказал, что ему предлагали признаться во взломе почты экс-кандидата в президенты от демократической партии США Хиллари Клинтон. По его словам, на допросах в ноябре 2016 года и в феврале 2017 года с ним говорили «Агент» и «Миллер», они предлагали признать вину во взломе почты Клинтон «для Трампа по приказу Путина» в обмен на экстрадицию в США, снятие всех обвинений, а также «квартиру и деньги, американское гражданство».

США обвиняют россиянина во взломах, причинивших ущерб компаниям LinkedIn, Dropbox и Formspring в 2012–13 годах. Россия вменяет Никулину кражу денег со счета WebMoney. Как сообщалось, преступление произошло в 2009 году, но ордер на арест выдали в ноябре 2016 года.

Никулина задержали в Праге в октябре 2016 года в одной из гостиниц города при содействии полиции и ФБР.