Aдвoкaт грaждaнинa Рoссии Eвгeния Никулинa, кoтoрoгo обвиняют во взломе серверов LinkedIn, Dropbox и Formspring, Мартин Садилек передал «Текущему времени» документ, в котором, как утверждает юрист, содержатся письменные показания сотрудника ФБР Джеффри Миллера.

Эти показания, по словам Садилека, были озвучены в суде по экстрадиции россиянина, которой добиваются Вашингтон и Москва.

Согласно документу, подлинность которого в суде не комментируют, в 2012 году LinkedIn пожаловалась ФБР на хакера, разместившего в свободном доступе около 6,5 млн паролей пользователей сервиса.

Во время внутреннего расследования в LinkedIn обнаружили «подозрительный» аккаунт одного из инженеров. Как выяснилось, сотрудник работал из дома и соединялся с корпоративной сетью с помощью VPN (удаленное шифрованное соединение по технологии Virtual Private Network, виртуальная частная сеть). Более того, он использовал виртуальную машину как веб-сервер.

Хакеру удалось установить соединение с этой виртуально машиной и таким образом получить доступ к базе данных LinkedIn. Он также загрузил в машину специальную программу, позволяющую получать контроль над компьютером без ведома владельца.

Пытаясь определить личность хакера, сотрудники ФБР обнаружили еще несколько взломанных аккаунтов пользователей LinkedIn и установили, что как минимум в семь из них заходили с IP-адресов, зарегистрированных на российского провайдера «Национальные кабельные сети» (сейчас принадлежит «Ростелекому»). Эти же адреса использовались для проникновения во внутреннюю сеть компании через компьютер инженера LinkedIn.

Как следует из показаний, взломщик оставил и другие улики. В частности, в восемь аккаунтов он заходил, используя один и тот же браузер. Это удалось установить по одинаковым файлам cookie и строки «user-agent» (при соединении браузер сообщает свое название, версию, а также какой операционной системой пользуется клиент).

Таким образом, ФБР пришло к выводу, что взлом компьютера инженера LinkedIn и аккаунтов сети совершался с одного и того же компьютера.

Во время взлома хакер пользовался почтой chinabig01@gmail.com. Согласно документу, ФБР получило разрешение суда на доступ к этой почте и обнаружила в ней регистрацию на сервисе afraid.org на ник «zopaqwe1».

Сервис предоставляет услуги DNS: помогает связать имена сайтов с их IP-адресами. В документе не говорится, как именно Никулин использовал ресурс. Тем не менее, по запросу суда администраторы afraid.org предоставили информацию о пользователе.

По этим данным можно было опознать его устройство (cookie) и строку идентификации браузера пользователя, которая совпала со строкой «user-agent», засветившейся при взломе LinkedIn.

Спецслужба кроме того, получила от «Национальных кабельных сетей» данные о человеке, использовавшем «засвеченный» при взломе LinkedIn IP-адрес: провайдер сообщил, что адрес принадлежал Евгению Александровичу Никулину, а также предоставил телефон и номер паспорта.

Согласно документу, первую фотографию взломщика агенты получили после того, как власти Украины передали ФБР полученные в результате обыска файлы с компьютера знакомого Никулина, еще одного хакера Александра Еременко (обвиняется в мошенничестве на бирже).

Никулин и Еременко якобы обсуждали использование бэкдоров и сервиса afraid.org, а среди файлов украинского хакера нашли несколько фотографий с названием «Женя из Москвы».

После этого спецслужбе удалось обнаружить аккаунт Никулина в Instagram, передает Republic.ru.

О задержании Никулина стало известно 19 октября. Его поимкой занимались совместно полиция Чехии и сотрудники ФБР, он был объявлен в международный розыск и находился в списках Интерпола. В США ему заочно предъявлено обвинение в похищении электронных данных крупных интернет-компаний LinkedIn, Dropbox и Formspring.

Сам Никулин рассказывал о том, что в ходе допросов его пытались заставить заявить о том, что он по приказу Владимира Путина пытался взломать электронную почту Хиллари Клинтон. Позднее его убеждали взять на себя вину за взлом сервером Демократической партии США во время предвыборной кампании 2016 года.