Эллисон Никсон помогла арестовать десятки членов The Com — неформального объединения онлайн-групп, ответственных за насилие и хакерские атаки. Затем она сама стала мишенью.
16 февраля 2026 г. 
Угрозы появились весной.
В апреле 2024 года некий таинственный человек, использующий в сети ники «Waifu» и «Judische», начал публиковать угрозы убийством в каналах Telegram и Discord в адрес исследователя кибербезопасности по имени Эллисон Никсон.
«Элисон Никсон скоро получит ожерелье из шины, наполненной бензином», — написала Waifu/Judische, и оба слова имеют оскорбительный подтекст. «Децеребрация — мой любимый вид смерти мозга, вот что случится с Элисон Никсон».
Вскоре к ним присоединились и другие. Кто-то поделился созданными с помощью ИИ обнаженными фотографиями Никсона.
Связанная статья
Познакомьтесь с человеком, выслеживающим шпионов в вашем смартфоне. Читайте далее.
Эти анонимные личности преследовали Никсон, потому что она стала грозной угрозой: будучи главным научным сотрудником в фирме по киберрасследованиям Unit 221B, названной в честь квартиры Шерлока Холмса, она построила карьеру, отслеживая киберпреступников и помогая им арестовываться. Годами она тихонько скрывалась в онлайн-чатах или использовала псевдонимы, чтобы напрямую общаться с преступниками, собирая воедино улики, которые они неосторожно оставляли о себе и своих преступлениях. Это помогло ей привлечь к ответственности ряд киберпреступников, особенно членов слабо связанной субкультуры анархических хакеров, называющих себя Com.
Но члены организации «Ком» занимаются не только хакерством; некоторые из них также применяют насилие в реальной жизни против исследователей, которые за ними следят. Это включает в себя «бросание кирпича» (бросание кирпича в окно жертвы) и «сваттинг» (опасный вид мистификации, заключающийся в сообщении о ложном убийстве или захвате заложников в чьем-то доме, чтобы спецназ осадил его с оружием наготове). Члены ответвления «Ком», известного как «764», обвиняются в еще более жестоких действиях, включая пытки животных, ножевые ранения и стрельбу в школах, или в подстрекательстве других лиц внутри и за пределами «Ком» к совершению этих преступлений.
Никсон начала отслеживать членов этого сообщества более десяти лет назад, когда другие исследователи и сотрудники правоохранительных органов в основном игнорировали их, потому что они были молоды — многие из них были подростками. Ее раннее внимание позволило ей разработать стратегии для их выявления.
Райан Броган, специальный агент ФБР, говорит, что с 2011 года, когда он начал с ней работать, Никсон помогла ему и его коллегам выявить и арестовать более двух десятков членов местного сообщества, и что ее навыки в их разоблачении не имеют себе равных. «Если вы попадете в поле зрения Эллисон и меня, вы [попадете]. Это лишь вопрос времени», — говорит он. «Независимо от того, сколько цифровой анонимности и профессиональных навыков вы попытаетесь применить, вам конец».
Несмотря на то, что она занималась этой работой более десяти лет, Никсон не могла понять, почему человек, стоящий за аккаунтами Waifu/Judische, вдруг начал ей угрожать. Она давала интервью СМИ о Com — совсем недавно в программе «60 минут» — но не о своей работе по разоблачению участников с целью их ареста, поэтому враждебность казалась неожиданной. И хотя в прошлом она интересовалась личностью Waifu из-за преступлений, которыми он хвастался, к моменту начала угроз он уже давно не был в поле её зрения, поскольку она отслеживала другие цели.
Теперь Никсон решила разоблачить Ваифу/Джудише и других лиц, ответственных за угрозы убийством, и привлечь их к ответственности за преступления, в совершении которых они признались. «До того, как они начали угрожать мне смертью, у меня не было причин обращать на них внимание», — говорит она.
Начало Ком
Большинство людей никогда не слышали о Com, но его влияние и угроза растут.
Это онлайн-сообщество, объединяющее слабо связанные группы, в основном, подростков и молодых людей в возрасте от 20 до 30 лет из Северной Америки и англоязычных регионов Европы, которые стали частью того, что некоторые называют молодежным движением киберпреступников.
Международные законы и нормы, а также опасения по поводу ответных мер не позволяют государствам разворачивать полномасштабные кибер-операции. Но это не останавливает анархистскую Ком.
За последнее десятилетие преступная деятельность группировки Com значительно расширилась: от простых DDoS-атак, нарушающих работу веб-сайтов, до взломов с заменой SIM-карт, позволяющих перехватить телефонную связь жертвы, а также краж криптовалюты, атак с использованием программ-вымогателей и кражи корпоративных данных. Эти преступления затронули AT&T, Microsoft, Uber и другие компании. Члены Com также были замешаны в различных формах сексуального шантажа, направленных на принуждение жертв к нанесению себе физического вреда или записи себя в сексуально откровенных действиях. Влияние Com распространилось и за пределы цифрового мира, включая похищения людей, избиения и другие виды насилия.
Один давний исследователь киберпреступности, пожелавший остаться анонимным из-за своей работы, говорит, что Ком представляет собой такую же серьезную угрозу в киберпространстве, как Россия и Китай — по одной необычной причине.
«Китай готов зайти лишь до определённого предела; Россия или Северная Корея тоже готовы зайти лишь до определённого предела», — говорит он, имея в виду международные законы и нормы, а также опасения по поводу ответных мер, которые мешают государствам проводить полномасштабные кибер-операции. Однако это не останавливает анархистский Коммунизм, добавляет он.
ФРАНЦИСКА БАРЧИК«Это довольно серьёзная угроза, и люди склонны… замалчивать её, [потому что] это всего лишь группа детей», — говорит он. «Но посмотрите, какое влияние [они оказывают]».
Броган говорит, что масштабы ущерба, который они наносят в плане финансовых потерь, «могут очень быстро стать ошеломляющими».
Нет единого места, где бы собирались члены Com; они распространены по множеству веб-форумов, а также каналов в Telegram и Discord. Группа продолжает длинную череду хакерских и субкультурных сообществ, которые возникали в интернете в течение последних двух десятилетий, приобретали известность, а затем угасали или исчезали после ареста видных членов или других факторов, вызвавших их упадок. Они различались по мотивации и деятельности, но все возникли из «одного и того же первобытного бульона», говорит Никсон. Корни Com можно проследить до Scene, которая начиналась как сообщество различных групп, занимавшихся пиратством компьютерных игр, музыки и фильмов.
Когда Никсон начал изучать эту группировку в 2011 году, её участники взламывали игровые аккаунты, запускали DDoS-атаки и предоставляли услуги по запуску DDoS-атак. (DDoS-атаки перегружают сервер или компьютер трафиком от управляемых ботами машин, препятствуя прохождению легитимного трафика; бутеры — это инструменты, которые любой может арендовать для запуска DDoS-атаки на выбранную цель.) Хотя они и зарабатывали деньги, их главной целью была известность.
Ситуация изменилась примерно в 2018 году. Стоимость криптовалют росла, и сообщество (или Ком) — или, как оно иногда себя называло, Сообщество — возникло как подгруппа, которая в конечном итоге захватила сцену. Члены сообщества стали сосредотачиваться на финансовой выгоде — краже криптовалюты, краже данных и вымогательстве.
Связанная статья
Два года спустя пандемия привела к резкому увеличению числа членов Com, что, по мнению Никсон, объясняется социальной изоляцией и вынужденным переходом детей на онлайн-обучение. Но она также считает, что экономический рост был обусловлен экономическими условиями и проблемами социализации. Многие члены Com не могут найти работу из-за отсутствия навыков или проблем с поведением, говорит она. У ряда арестованных были проблемы в семье и трудности с адаптацией к школе, а у некоторых наблюдались признаки психических заболеваний. Com обеспечивает чувство товарищества, поддержку и возможность выплеснуть личные разочарования. С 2018 года он также предлагает некоторым решение их финансовых проблем.
В сообществе возникли разрозненные ячейки — Star Fraud, ShinyHunters, Scattered Spider, Lapsus$ — которые объединяются для совершения различных преступлений. Как правило, они нацеливаются на известных криптоэнтузиастов и технологических гигантов и, согласно судебным документам, заработали миллионы долларов на кражах и вымогательстве.
Однако, по словам исследователя киберпреступности, стремление к доминированию, власти и право похвастаться по-прежнему являются мотивирующими факторами, даже в коммерческих операциях, и отчасти именно поэтому участники нацеливаются на «крупных китов».
«Есть финансовая выгода, — говорит он, — но это также [посылает сигнал о том, что] я могу протянуть руку помощи людям, которые считают себя неприкасаемыми». На самом деле, говорит Никсон, у некоторых членов организации чрезмерно эгоцентричные мотивы, которые в конечном итоге вступают в конфликт с их финансовыми интересами.
«Часто их финансовые планы рушатся из-за их эго, и именно на этом явлении я построила свою карьеру», — говорит она.
Появляется охотник на хакеров.
У Никсон прямые темные волосы, она носит очки в проволочной оправе, имеет худощавое телосложение и книжный склад ума, который на первый взгляд позволяет принять ее за подростка. Она быстро и четко рассказывает о своей работе, словно ее мозг переполнен фактами, которые стремятся вырваться наружу, и излучает чувство неотложности, пытаясь донести до людей угрозу, которую представляет Ком. Она не скрывает своей радости, когда арестовывают того, за кем она следила.
В 2011 году, когда она впервые начала исследовать сообщества, из которых возникло «Ком», она работала в ночную смену в центре оперативного управления безопасностью компании SecureWorks. Центр обрабатывал заявки и оповещения о безопасности, поступающие из сетей клиентов, но Никсон мечтала о должности в команде по противодействию угрозам, которая расследовала и публиковала отчеты об угрозах, в основном связанных с государственными хакерскими группами из Китая и России. Без связей и опыта у нее не было пути к работе в сфере расследований. Но Никсон — чрезвычайно любознательный человек, и это создало ей собственный путь.
В то время как группа по борьбе с угрозами сосредоточилась на влиянии хакеров на сети клиентов — как они взламывали системы, что крали, — Никсон больше интересовали их мотивы и личностные качества, которые определяли их действия. Она предположила, что должны существовать онлайн-форумы, где собираются хакеры-преступники, поэтому она погуглила «хакерские форумы» и попала на сайт под названием Hack Forums.
«Это было до смешного просто», — говорит она.
Она была удивлена, увидев, как участники открыто обсуждают там свои преступления. Она связалась с кем-то из группы по борьбе с угрозами SecureWorks, чтобы узнать, известно ли ему об этом сайте, и он назвал его местом для «скрипт-кидди» — уничижительный термин для неопытных хакеров.
В то время многие специалисты по кибербезопасности переключали свое внимание с киберпреступности на спонсируемые государством хакерские операции, которые были более изощренными и привлекали к себе много внимания. Но Никсон любит идти своим путем, и пренебрежительное отношение ее коллеги подстегнуло ее интерес к форумам. Двое других коллег из SecureWorks разделяли этот интерес, и все трое изучали форумы в свободное от работы время. Они сосредоточились на попытках идентифицировать людей, запускающих DDoS-атаки.
Никсон нравилась в форумах их доступность для новичков, таких как она. Группам по анализу угроз необходим привилегированный доступ к сети жертвы для расследования взломов. Но Никсон могла получить доступ ко всему необходимому на публичных форумах, где хакеры, казалось, думали, что никто за ними не наблюдает. Из-за этого они часто допускали ошибки в оперативной безопасности (OPSEC) — случайно проговаривались о таких мелочах, как город проживания, школа или место работы. Эти детали, раскрытые в их чатах, в сочетании с другой информацией, могли помочь выявить истинные личности, скрывающиеся за анонимными масками.
«Для меня стало шоком, что оказалось относительно легко выяснить, кто они такие», — говорит она.
Связанная статья
Ее не беспокоили незрелое хвастовство и мелочные ссоры, которые преобладали на форумах. «Многие не любят тратить время на чтение логов чатов. Я понимаю, что это очень необычно. И, возможно, мой мозг устроен немного странно, раз я готова это делать», — говорит она. «У меня есть особый талант — я могу пробираться сквозь мусор, и меня это не беспокоит».
Никсон вскоре поняла, что не все участники были «скрипт-кидди». Некоторые, по её словам, демонстрировали настоящую изобретательность и «мощные» навыки, но поскольку они применяли их в легкомысленных целях — взлом игровых аккаунтов вместо опустошения банковских счетов — исследователи и правоохранительные органы игнорировали их. Никсон начала следить за ними, подозревая, что в конечном итоге они направят свои навыки на более важные цели — интуиция оказалась верной. И когда это произошло, она уже накопила огромный объём информации о них.
Она продолжала свои исследования DDoS-атак в течение двух лет, пока в 2013 году не произошел переломный момент, когда журналист, пишущий о кибербезопасности, Брайан Кребс, посвятивший свою карьеру отслеживанию киберпреступников, не стал жертвой ложной атаки.
Около дюжины человек из сферы безопасности работали с Кребсом над разоблачением преступника, и Никсон была приглашена помочь. Кребс отправлял ей фрагменты головоломки для расследования, и в конце концов группа выявила виновника (хотя на его арест ушло два года). Когда ее пригласили на ужин с Кребсом и другими следователями, она поняла, что нашла своих людей.
«Это был невероятный момент для меня, — говорит она. — Я подумала: вау, есть столько единомышленников, которые просто хотят помочь и делают это, по сути, из любви к игре».
Всегда на шаг впереди
Именно порнозвезды стали следующим важным направлением исследований Никсон, которое подчеркнуло ее умение выявлять мошенников и криминальные тенденции на зарождающихся стадиях, еще до того, как они превращались в серьезную угрозу.
В 2018 году кто-то взломал аккаунты в социальных сетях некоторых звезд фильмов для взрослых и использовал их для рассылки мошеннических схем с криптовалютой среди их многочисленных подписчиков. Никсон не могла понять, как хакерам удалось взломать профили в социальных сетях, но пообещала помочь актерам восстановить доступ к своим аккаунтам, если они согласятся показать ей личные сообщения, которые хакеры отправляли или получали в то время, когда они контролировали аккаунты. Эти сообщения привели ее на форум, где участники обсуждали, как они украли аккаунты. Хакеры обманом заставили некоторых из этих актеров раскрыть номера мобильных телефонов других. Затем они использовали метод, называемый SIM-подменой, чтобы сбросить пароли для аккаунтов в социальных сетях, принадлежащих этим другим звездам, заблокировав им доступ.
При подмене SIM-карт мошенники присваивают номер телефона жертвы SIM-карте и телефону, находящимся под их контролем, чтобы звонки и сообщения, предназначенные для жертвы, перенаправлялись на них. Это включает в себя одноразовые коды безопасности, которые отправляются владельцам аккаунтов в виде SMS-сообщений для подтверждения личности при доступе к аккаунту или изменении пароля. В некоторых случаях, связанных с порнозвездами, хакеры манипулировали работниками телекоммуникационных компаний, заставляя их совершать подмены SIM-карт по якобы законным причинам, а в других случаях подкупали работников, чтобы те внесли изменения. Затем хакеры смогли изменить пароли в аккаунтах актрис в социальных сетях, заблокировать доступ владельцам и использовать аккаунты для рекламы своих криптовалютных мошенничеств.
Подмена SIM-карт — это мощная техника, позволяющая захватывать и опустошать целые криптовалютные и банковские счета, поэтому Никсон была удивлена, увидев, как мошенники используют её в относительно невыгодных схемах. Но на тот момент подмена SIM-карт редко использовалась для финансового мошенничества, и, как и хакеры, которых Никсон видела на хакерских форумах, те, кто взламывал аккаунты порнозвезд, похоже, не понимали всей мощи используемой ими техники. Никсон подозревала, что ситуация изменится, и подмена SIM-карт вскоре станет серьезной проблемой, поэтому она соответствующим образом переориентировала свои исследования. Мошенникам тоже не потребовалось много времени, чтобы изменить направление своей деятельности.
Умение Никсон предвидеть будущее помогало ей на протяжении всей карьеры. Неоднократно хакер или хакерская группа привлекали её внимание — например, использованием нового хакерского подхода в какой-нибудь незначительной операции — и она начинала отслеживать их сообщения и чаты в интернете, полагая, что в конечном итоге они смогут использовать это умение для чего-то значимого.
Обычно так и было. Когда позже они попадали в заголовки газет благодаря эффектной или влиятельной операции, этим хакерам казалось, что они появились из ниоткуда, заставляя исследователей и правоохранительные органы лихорадочно пытаться понять, кто они такие. Но у Никсон уже было составлено досье на них, и в некоторых случаях они также раскрыли свою истинную личность. Примером тому служит группа Lizard Squad. Эта группа ворвалась в заголовки газет в 2014 и 2015 годах с серией громких DDoS-атак, но Никсон и ее коллеги по работе уже некоторое время следили за ее членами как за отдельными личностями. Поэтому ФБР обратилось к ним за помощью в их идентификации.
«Дело в том, что эти молодые хакеры… продолжают свою деятельность, пока их не арестуют, но на это уходят годы», — говорит она. «Поэтому огромная часть моей карьеры заключается в том, чтобы просто хранить эту информацию, которая еще не была использована».
В годы работы в Lizard Squad Никсон начала разрабатывать инструменты для сбора и записи онлайн-коммуникаций хакеров, хотя пройдет еще несколько лет, прежде чем она начнет использовать эти концепции для сбора данных из чатов и форумов Com. Эти каналы содержали огромное количество данных, которые могли показаться бесполезными на начальном этапе карьеры хакера, но могли оказаться критически важными позже, когда правоохранительные органы приступят к их расследованию; однако содержимое всегда рисковало быть удалено участниками Com или заблокировано правоохранительными органами при изъятии веб-сайтов и чатов.
Работа Никсон уникальна тем, что она взаимодействует с актерами в чатах, чтобы извлечь из них информацию, которая «обычно была бы недоступна».
В течение нескольких лет она собирала и сохраняла данные из всех чатов, которые исследовала. Но только в начале 2020 года, когда она присоединилась к подразделению 221B, ей представилась возможность собрать данные из каналов Telegram и Discord организации Com. Она объединила все эти данные в поисковую платформу, которую могли использовать другие исследователи и правоохранительные органы. Компания наняла двух бывших хакеров для создания инструментов и инфраструктуры для сбора данных; результатом стала eWitness — платформа, управляемая сообществом и доступная только по приглашению. Первоначально она была заполнена только данными, собранными Никсон после её прихода в подразделение 221B, но с тех пор была дополнена данными, собранными другими пользователями платформы из социальных сетей Com, некоторые из которых больше не существуют на публичных форумах.
Броган из ФБР говорит, что это невероятно ценный инструмент, ценность которого еще больше возросла благодаря вкладу самой Никсон. Другие компании, занимающиеся вопросами безопасности, также собирают информацию из онлайн-пространств, контролируемых преступниками, но они редко делятся этим контентом с посторонними, и, по словам Брогана, работа Никсон уникальна тем, что она взаимодействует с участниками событий в чатах, чтобы получить от них информацию, которая «обычно была бы недоступна».
Начатый ею после прибытия в подразделение 221B проект по сохранению информации оказался как нельзя кстати, поскольку совпал с пандемией, резким увеличением числа новых членов организации «Коммунистическое общество» и появлением двух тревожных ответвлений «Коммунистического общества» — CVLT и 764. Ей удалось записать их переписку в самом начале существования этих групп; после того как правоохранительные органы арестовали лидеров этих групп и взяли под контроль серверы, где публиковались их переписки, эти материалы стали недоступны.
CVLT (произносится как «культ») предположительно была основана примерно в 2019 году и специализировалась на шантаже с использованием интимных фотографий и распространении материалов с изображением сексуального насилия над детьми. Из CVLT возникла организация 764, возглавляемая 15-летним подростком из Техаса по имени Брэдли Кейденхед, который назвал её по первым цифрам своего почтового индекса. Её деятельность была направлена на экстремизм и насилие.
В 2021 году, в связи с тем, что она наблюдала в этих группах, Никсон обратила свое внимание на сексуальное вымогательство среди членов организации.
Тип шантажа с использованием интимных фотографий, которым они занимались, берет свое начало от деятельности, начавшейся десять лет назад с «раздачи автографов фанатам». Хакеры использовали угрозу раскрытия личных данных, чтобы заставить кого-либо, обычно молодую женщину, написать никнейм хакера на листе бумаги. Хакер использовал фотографию этого листа в качестве аватара на своих онлайн-аккаунтах — своего рода трофей. В конце концов, некоторые начали шантажировать жертв, заставляя их писать никнейм хакера на лице, груди или гениталиях. С CVLT это еще больше обострилось; жертв шантажировали, заставляя вырезать имя участника Com на своей коже или совершать действия сексуального характера во время записи или прямой трансляции.
По словам Никсон, во время пандемии удивительно большое количество мошенников, подменяющих SIM-карты, перешли к распространению материалов с изображением сексуального насилия над детьми и садистскому шантажу с использованием интимных фотографий. Она ненавидит отслеживать эту ужасную деятельность, но увидела возможность использовать ее в своих целях. Ее давно раздражало, насколько снисходительно судьи относятся к финансовым мошенникам из-за кажущейся ненасильственности их преступлений. Но она увидела шанс добиться для них более суровых приговоров, если сможет связать их с шантажом с использованием интимных фотографий, и начала сосредотачиваться на этих преступлениях.
На тот момент Вайфу всё ещё не входила в её планы. Но это вот-вот должно было измениться.
Финал
Никсон попал под прицел Waifu после того, как он и другие члены Com были замешаны в крупном взломе, связанном с записями телефонных разговоров клиентов AT&T в апреле 2024 года.
Группа Ваифу получила доступ к десяткам облачных аккаунтов Snowflake, компании, предоставляющей клиентам онлайн-хранилище данных. У одного из этих клиентов в аккаунте Snowflake хранилось более 50 миллиардов записей звонков абонентов беспроводной связи AT&T.
Они попытались снова шантажировать телекоммуникационную компанию, угрожая в социальных сетях утечкой записей. В своих сообщениях они отметили ФБР. «Как будто они сами напрашивались на расследование», — говорит Никсон.
Среди записей абонентов были журналы звонков агентов ФБР, являвшихся клиентами AT&T. Никсон и другие исследователи полагают, что хакеры могли идентифицировать телефонные номера агентов другими способами. Затем они, возможно, использовали программу обратного поиска, чтобы определить владельцев телефонных номеров, на которые звонили агенты или которые звонили им, и обнаружили среди них номер Никсон. Именно тогда они начали ее преследовать.
Но затем они стали действовать безрассудно. По утверждению следствия, они вымогали у AT&T почти 400 000 долларов в обмен на обещание удалить украденные ими записи телефонных разговоров. Затем они попытались снова вымогать деньги у телекоммуникационной компании, угрожая в социальных сетях опубликовать якобы удаленные записи, если она не заплатит больше. В своем посте они отметили ФБР.
«Создавалось впечатление, что они сами напрашивались на расследование», — говорит Никсон.
Взлом системы Snowflake и кража данных AT&T в то время были в центре внимания СМИ, но Никсон понятия не имела, что её номер телефона был в украденных записях или что Ваифу/Джудише была главной подозреваемой в этих взломах. Поэтому она была озадачена, когда он начал издеваться над ней и угрожать ей в интернете.
ФРАНЦИСКА БАРЧИКВ течение нескольких недель в мае и июне вырисовывалась определенная схема. Ваифу или кто-то из его сообщников размещал в ее адрес угрозы, а затем публиковал в интернете сообщение с приглашением к разговору. Сейчас она предполагает, что они считали, что она помогает правоохранительным органам расследовать взлом Snowflake, и надеялись вовлечь ее в диалог, чтобы получить от нее информацию о том, что известно властям. Но Никсон еще не помогал ФБР в расследовании. Только после того, как она начала следить за угрозами Ваифу, она узнала о его предполагаемой причастности к взлому Snowflake.
Однако она изучала его не в первый раз. Вайфу привлек ее внимание в 2019 году, когда он хвастался тем, что подставил другого члена Com, обвинив его в ложном сообщении об угрозе взрыва, а позже рассказал о своем участии в операциях по подмене SIM-карт. Он произвел на нее впечатление. У него явно были технические навыки, но, по словам Никсон, он также часто казался незрелым, импульсивным и эмоционально нестабильным, и отчаянно нуждался во внимании в общении с другими членами. Он хвастался тем, что ему не нужен сон, и тем, что он использует Аддералл, чтобы взламывать системы всю ночь. Он также был несколько безрассуден в отношении защиты личных данных. В личных чатах с другим исследователем он писал, что его никогда не поймают, потому что он хорош в оперативной безопасности, но при этом говорил исследователю, что живет в Канаде — что оказалось правдой.
Процесс разоблачения Вайфу, который использовала Никсон, основывался на общем алгоритме, применяемом ею для разоблачения членов Коммонвелт-сообщества: она рисовала большой следственный круг вокруг цели и всех личностей, которые общались с этим человеком в интернете, а затем изучала их взаимодействие, чтобы сузить круг до людей с наиболее значимыми связями с целью. Некоторые из лучших зацепок поступали от врагов цели; она могла получить много информации об их личности, характере и деятельности из того, что говорили о них люди, с которыми они конфликтовали в интернете.
Связанная статья
«Враги и бывшие девушки, как правило, лучше всего подходят для сбора информации о подозреваемом», — говорит она. «Я их обожаю».
Пока она этим занималась, Ваифу и его группа связывались с другими исследователями в области безопасности, пытаясь получить информацию о Никсон и о том, что она могла расследовать. Они также пытались подбросить исследователям ложные улики, упоминая имена других киберпреступников в Канаде, которые вполне могли быть Ваифу. Никсон никогда не видела, чтобы киберпреступники использовали подобные контрразведывательные методы.
В условиях этой неразберихи и путаницы Никсон и другой работавший с ней исследователь много консультировались и перепроверяли информацию у других исследователей, чтобы убедиться в правильности имени, прежде чем передать его ФБР.
К июлю она и исследовательница были уверены, что нашли нужного человека: Коннора Райли Муку, 25-летнего бросившего школу парня, живущего со своим дедушкой в Онтарио. 30 октября Королевская канадская конная полиция прибыла к дому Муки и арестовала его.
Согласно показаниям, поданным в канадский суд, днем 21 октября, за девять дней до ареста, канадский полицейский в штатском посетил дом Мучки под каким-то предлогом, чтобы тайно сфотографировать его и сравнить с изображением, предоставленным властями США. Полицейский постучал и позвонил в звонок; Мучка открыл дверь, выглядя растрепанным, и сказал посетителю: «Вы меня разбудили, сэр». Он представился полицейскому как Алекс; Мучка иногда использовал псевдоним Александр Антонин Мучка. Убедившись, что человек, открывший дверь, — это тот, кого разыскивают США, полицейский ушел. В этот момент онлайн-выпады Ваифу против Никсона усилились, как и его попытки ввести его в заблуждение. Она считает, что визит к нему напугал его.
Никсон не раскрывает точную информацию о том, как именно они разоблачили Мучку, — лишь говорит, что он совершил ошибку.
«Я не хочу учить этих людей, как не попасться [раскрыв свою ошибку]», — говорит она.
В канадском заявлении против Мучки раскрывается ряд других сообщений с угрозами, которые, как утверждается, он размещал в интернете. Некоторые из них содержат размышления о том, как стать серийным убийцей или рассылать таблетки нитрата натрия чернокожим жителям Мичигана и Огайо; в другом сообщении его онлайн-персонаж говорит о приобретении огнестрельного оружия, чтобы «убивать канадцев» и совершать «самоубийство с помощью полицейского».
Прокуроры, которые в обвинительном заключении указывают на онлайн-псевдонимы Мучки, включая Waifu, Judische и еще два, утверждают, что он и другие лица вымогали не менее 2,5 миллионов долларов у как минимум трех жертв, данные которых они украли из аккаунтов Snowflake. Мучке предъявлено обвинение почти по двум десяткам пунктов, включая сговор, несанкционированный доступ к компьютерам, вымогательство и мошенничество с использованием электронных средств связи. Он не признал себя виновным и был экстрадирован в США в июле прошлого года. Судебное разбирательство назначено на октябрь этого года, хотя дела о хакерских атаках обычно заканчиваются соглашением о признании вины, а не судебным процессом.
Власти потребовались месяцы, чтобы арестовать Мучку после того, как Никсон и ее коллега поделились своими выводами с властями, но предполагаемый его сообщник в заговоре «Снежинка», солдат армии США по имени Кэмерон Джон Вагениус (Kiberphant0m online), был арестован быстрее.
10 ноября 2024 года Никсон и ее команда обнаружили ошибку, допущенную Вагениусом, которая помогла установить его личность, а 20 декабря он был арестован. Вагениус уже признал себя виновным по двум пунктам обвинения, связанным с продажей или попыткой продажи конфиденциальных телефонных записей, и приговор ему будет вынесен в марте этого года.
В настоящее время Никсон продолжает расследование случаев шантажа с использованием интимных фотографий среди членов организации Com. Но она говорит, что оставшиеся члены группы Ваифу по-прежнему насмехаются над ней и угрожают ей.
«Они продолжают упорствовать в своих глупостях, и их устраняют одного за другим, — говорит она. — И я буду продолжать это делать, пока на той стороне никого не останется».
Ким Зеттер — журналистка, освещающая вопросы кибербезопасности и национальной безопасности. Она является автором книги «Обратный отсчет до нулевого дня».
Источник: www.technologyreview.com
