программе, а присутствуют только в анализируемом бинарнике».

С таким же успехом Ануфриев мог бы доказать, что любой произвольно взятый. exe файл совпадает с кодом на ноутбуке. Но судье Луниной такой экспертизы оказалось достаточно.

17 января 2013 года я устроился официально на работу в ChronoPay.

В 2012 году из ChronoPay уволились разом все разработчики, и Врублевский предложил мне перебраться в Москву. Я должен был заняться программированием процессинга ChronoPay на PHP.

Квартиру мне подобрали рядом с офисом близняшки с ресепшена. Дом был старый, советский, с одним подъездом. Выглядело все прилично, но мебель и техника явно были дешевые. А поскольку это были Хамовники, то и цена за такую однушку в 2012 году составляла 65 тысяч рублей. Хозяин был неприятный желтозубый пожилой мужик. За своими деньгами он приезжал прямо ко мне в ChronoPay. К тому же еще и жадный. В квартире не было водонагревателя, и ближе к лету я решил его поставить:

— Ставь, — разрешил он мне.

— Как будем оплачивать стоимость?

— Тебе он нужен, ты и платишь.

Квартира находилась на втором этаже. А на первом этаже жил один тип, который день и ночь орал по телефону по 6–8 часов. Как он сказал, его сына арестовали, и он решал вопросы. Не знаю, какие вопросы можно было решить бесконечным пиздежом.

ChronoPay тогда арендовал четвертый этаж в БЦ «Спектр», прямо рядом с метро «Спортивная». Генеральным директором после заключения Врублевского стал Лёша Ковыршин. До этого Лёша был техническим директором. Что очень хорошо получалось у него, так это администрирование Linux-серверов. К руководству компанией у него душа не лежала. Да и ограничен он был финансово. На тот момент бухгалтерский баланс компании сводился к нулю.

Летом 2013 года ChronoPay снял еще третий этаж в БЦ «Спектр». Над выходом с этажа висели икеевские часы. Как-то, при очередной пьянке (праздновали чей-то день рождения), системный администратор Антон захотел эти часы подвести. Сняв часы, мы обнаружили в них скрытую камеру и провод, который уходил куда-то под потолок. Достав вольтметр, Антон констатировал — камера подключена.

Этой ночью неожиданно что-то сломалось в серверной на четвертом этаже. Туда выехал главный безопасник, бывший фсбшник, Виталий, с тем же Антоном. Под утро камера была уже обесточена, а Антон не помнил, как проверял ее вольтметром.

— Провод идет в нашу серверную, но он не подключен, — подытожил Виталий. * * *

Техническим директором и руководителем разработки стал Артур. В его-то подчинение я и попал поначалу. Но самим программированием в итоге занимался мало. Мы постоянно искали возможность заработать дополнительно.

Одним из таких проектов был файлообменник. Смысл бизнес-модели такой: есть файловый хостинг, на него выкладывают разного рода warez[54], фильмы, музыку. Скачать их можно было либо бесплатно, но долго и на очень медленной скорости, либо быстро, купив доступ без ограничения по скорости. А работал такой файлообменник с адвертами, которые и заливали данные файлы, и распространяли ссылки на них по форумам, соцсетям и т. д. Вроде файлообменник-то и ни при чем. Ведь не он же нарушает авторские права, а адверты. В случае жалобы от правообладателя, естественно, файлообменник удалял этот контент. Но подключить прием карт под такой вид деятельности тоже достаточно сложная задача.

Врублевский же воодушевился тем, что недавно один из банков отключил агрегированный аккаунт, через который год, а то и более, гнали платежи за подобные услуги. Агрегированный аккаунт означает, что в платежной системе регистрировался сам агрегатор (платежная компания-посредник). И он уже подключал непосредственно торговые точки по упрощенной схеме. При этом расчеты шли не напрямую банк — торговая точка, а банк — агрегатор — торговая точка.

То есть, чтобы подключить платежи по такой схеме, достаточно было купить ООО, зарегистрированную на любого левого человека, а выплаты за принятые платежи можно было через «Хроно» отправлять куда угодно.

Поэтому для регистрации торговой точки был создан сайт, якобы торгующий футболками, и куплена ОООшка.

Но сразу после запуска файлообменника ему вынесли процессинг. Как оказалось, существуют схемы, позволяющие убивать чужой мерчант. Для этого создаются фиктивные сайты по любой запрещенной деятельности. Эти сайты отправляются в Visa/Mastercard. После того, как приходит проверяющий и вбивает свою карту на сайте-фикции, эти данные тут же вводятся на вашем сайте. Так сделали и с нами. Возможно, это были конкуренты. Хотя к тому моменту отрасль файлообменников уже умирала.

Как я понял, после появлений УСБшников в «Лефортово» у Паши они взяли дело на свой контроль. От них в «Хроно» работал прикомандированный фсбшник на пенсии, которого мы кратко звали Саныч. А Паша к тому же называл его дедушкой. Именно он показал нам очень много несуразиц в деле, несовпадения дат и номеров на справках ОРМ.

21 января 2013 года Айвар Л. К. заявила ходайтайство об исключении справок по результатам ОРМ, так как в следствие передавали справки с одними номерами и датами, а в томах уголовного дела были справки с другими номерами и датами.

Историю со справками по результатам ОРМ нам спалил Саныч. Получается, что следствие нарисовало совсем другие документы?

Прокурор Котов выпал в осадок и попросил перенести суд.

21 феврала 2013 года. Суд состоялся только через месяц. Котов принес на заседения справку из ЦИБ ФСБ. Оказывается, у них при передаче документов в следствие поменялись номера. Как же красиво они парировали наш выпад! Все же просто — номера поменялись. Меня до сих пор берут сомнения, что СОРМ проводился на нашем канале, а данные для входа в панель ботнета получены не другим способом.

18 мая 2012 года российское подразделение международного разработчика антивирусного программного обеспечения ESET выпустило исследование «King of Spam: Festi Botnet Analysis»[55]. Проводили это исследование Евгений Родионов и Александр Матросов. По их заявлению, они получили доступ к панели управления ботнетом в том самом 2010 году, в котором проводило исследование Group-IB. О своем тесном официальном сотрудничестве ESET и Group-IB заявили открыто 15 сентября 2010 года[56]. Более того, скриншоты панели управления в уголовном деле и в исследовании ESET совпадали на все 100 %.

Домены muduck.ru и moduck.ru были действительно мои. Название доменов образовывалось из двух слов: МУДАК и УТКА. А вот заявление, что Festi — король спама, явно было притянуто для придания веса «исследованию». Festi тогда рассылал 2–3 милллиона писем в сутки, когда такие ботнеты, как Grum или Cutwail, слали сотни миллионов.

По заявлению Матросова и Родионова, они проводили реверс-инжиниринг бота за февраль 2012 года и из него восстанавливали структуру