הוקלט באולפני המרכז לתרבות מונגשת
כשהשוטרים הגיעו, אלנה טימופיבה היתה מוכנה לקראתם. האשה הצנומה ששיער חום עטף את פניה המחודדות, חיה חיים כפולים בשמונה השנים האחרונות. בעיר מרבייה שבספרד חשבו שהיא מהגרת רוסייה שקטה בת 43, שהחליפה את חייה כבעלת עסק אלקטרוניקה קטן בסיביר בחופים שטופי שמש. ברשת, לעומת זאת, היתה לה פרסונה שונה לגמרי: היא קראה לעצמה דרקושה ("דרקונית"), ושימשה בתפקיד בכיר באחת מכנופיות הכופרה הגדולות בעולם. במשך שנים היא היתה חלק מצוות שסחט כספים מאנשים ועסקים, הצפין את המידע האישי והעסקי של הקורבנות, ודרש תשלום תמורת שחרורו.
ביוני 2023 החלו החיים החדשים שטימופיבה (Timofeeva) בנתה לעצמה להתפרק. באותו בוקר המשטרה עצרה את שותפה העסקי, ואדים סירוטין (Sirotin), וברגע שאחותו של סירוטין עדכנה אותה על כך, החלה טימופיבה למחוק את ההודעות הפרטיות שלה בטלגרם, לפני שהרשויות יגיעו גם אליה.
באותו היום, כששמש אחר הצהריים להטה, נכנסו השוטרים למתחם המגורים בו גרה, והחרימו כמה כרטיסי אשראי שהיו רשומים על שמות בדויים, ארבעה מכשירי טלפון ומחברות. על השולחן במרפסת השאירה טימופיבה שלושה מחשבים ניידים. שניים מהם עדיין פעלו.
טימופיבה לא היתה הטיפוס שסביר שיהפוך למוח הקרימינלי של הרשת האפלה. את 35 השנה הראשונות לחייה העבירה במחוז קמרובו, הנחשב אחד מאזורי כריית הפחם החשובים של רוסיה. אין שום תיעוד לכך שהיא אי פעם עזבה את המדינה, או אפילו טיילה בה. השם שלה לא סומן במאגרי המידע הרוסיים בחשד לביצוע פשעים. היא אפילו לא עברה שום הכשרת IT מיוחדת. הפרופיל שלה במדיה החברתית כלל בעיקר תמונות של חיות: חתול מפהק, לווייתן לבן משחק עם כדורסל.
בלב השינוי שעברה עמדו שני גורמים: גבר וכסף. המרדף אחר סיפור אהבה מאוד לא שגרתי וההבטחה לעושר הם שהביאו אותה לספרד לעבוד בהפצת אחת ממזימות הכופרה הבולטות בעולם. יחד עם שותפה העסקי, הגבר שבו התאהבה, היא הפילה ברשתה כ־400 אלף קורבנות, והרוויחה לזוג יותר מ־64 מיליון יורו בביטקוין.
בזמן המעצר, טימופיבה כבר היתה מושקעת עמוק בהונאת הכופרה שהיא וסירוטין בנו. במשך תקופה של שמונה שנים הם עמדו בחזית החידושים בתחום והיו חלוצים בענף שזכה לכינוי "כופרה כשירות", כלומר הם השכירו להאקרים אחרים גישה לכלים שיצרו.
טימופיבה הטילה ספק ביכולתם של החוקרים להבין את מלוא המזימה המורכבת והעצומה אולם היא גם לא ידעה כמה זמן היא וסירוטין היו במעקב, וכמה מידע נצבר על אודותיהם. העובדה שבני הזוג גרו מחוץ לרוסיה הציבה אותם מחוץ להישג היד של הרשויות הרוסיות, אך הם בהחלט היו שהו בתחום השיפוט של חוקרים אירופים שעבדו במשך שנים כדי ללכוד האקרים זרים כמותם.
החוקרים פעלו לאחר שקיבלו באופן לא ידוע מידע שחשף את מיקומם של שני שרתים ששימשו את סירוטין וטימופיבה. מהשרתים הללו, וכן מהלפטופים, הכוננים הקשיחים והטלפונים שהחרימו מבני הזוג, הם הצליחו לחלץ את הראיות שהיו דרושות כדי להעמיד אותם לדין, כולל קוד המקור הגולמי של תוכנות הכופרה, המפתחות לפענוח והודעות הכופר שנשלחו לקורבנות. החוקרים מצאו גם אלפי הודעות פרטיות שטימופיבה וסירוטין החליפו ביניהם. ההודעות הללו, שהיוו חלק ניכר מהראיות שהוצגו בבית המשפט ורבות מהן שותפו עם "הפייננשל טיימס", חשפו את דפוסי העבודה הפנימיים של פעילות ההאקרים, ואת התפתחותה של מערכת יחסים מאוד לא שגרתית.
סחיטה בשגיאות כתיב
כמו רבים אחרים מבני דורה, גם טימופיבה מצאה אהבה באינטרנט, אבל לא בדיוק בדרך הרגילה. בגיל 34 היא עדיין גרה במחוז שבו גדלה. לא היו לה קשרים בדרגים הגבוהים, אבל היא היתה שאפתנית ולמדה מהר. היא הקימה כמה עסקים שהתמחו בכבלים וציוד אלקטרוני ועבדה מתוך משרד מיושן באחד הרחובות הראשיים של קמרובו. היו לה חלומות והניסיון הרע שצברה בקשרים עם גברים לא הרתיע אותה. "אין מחיר למי שאוהב אותנו כמו שאנחנו", היה אחד הציטוטים האהובים עליה.
אבל ב־9 בפברואר 2015, הכל השתנה. טימופיבה פתחה מייל משולח לא מוכר. כשלחצה עליו נפתח לפניה מכתב כופר מלא בשגיאות כתיב. המסמכים שלה הוצפנו, נכתב בו, וכדי להשיג בחזרה את הגישה אליהם יהיה עליה לשלם.
שגיאות הכתיב שיגעו אותה. טימופיבה ענתה לכתובת המייל שההאקר סיפק ודרשה לדעת מה המחיר. "אתה לא יכול לפחות ללמוד לאיית בלי שגיאות?", הוסיפה. ההאקר ענה במהירות, והסביר שקבלת המסמכים תעלה 15 אלף רובל (225 דולר באותה התקופה). הוא גם הוסיף ששגיאות הכתיב היו מכוונות ונועדו להדוף תוכנות אנטי־וירוס.
לא היו דברים בעלי ערך רב מדי במחשב של טימופיבה, ולכן כתבה לו בחזרה: "לא, תודה... יותר קל פשוט למחוק", והוסיפה שלושה סמיילים לאווירה טובה. היא גם טענה שאם הוא היה האקר מוצלח, הוא היה מגלה בעצמו שאין לה כמעט כסף בחשבון הבנק, ושבניגוד אליו — סחטן שכמותו — היא דווקא הרוויחה אותו בעצמה. היה נראה שההאקר מעוניין להמשיך בשיחה. "איך הייתי אמור לבדוק מה ההכנסה שלך? זה דבר די פסיכי לעשות", הקליד. ומלבד זאת, הוסיף, "סחטנות היא גם עבודה. נסי את לכתוב תוכנה שאנטי־וירוס לא יוכל לזהות".
משם השיחה התחילה לזרום באופן טבעי יותר. טימופיבה הציעה לו לחשוב על מודל עסקי חכם יותר. לרוסי הממוצע אין 15 אלף רובל לשלם את הכופר, כך שאפשרות פשוטה יותר תהיה לפעול נגד שרת של חברה גדולה. "עבורם, ה־15 אלף האלה יהיו כסף קטן", הציעה. "המידע שם הוא בעל ערך רב... צריך להשתמש קצת בראש".
בשלב הבא שינתה טימופיבה גישה. היא אמרה להאקר שאם הם כבר מדברים אולי היא תוכל לשלם לו בתמורה לקבלת שירותים. ספציפית היא רצתה עזרה בתקיפת חשבון של מישהו שלמד איתה בכיתה. הבחור הזה, הסבירה "מתנהג ממש גרוע. הוא נחש אמיתי כך שאתה תעשה בעצם מעשה טוב", כתבה. "ניסיתי למצוא בעצמי את המידע באינטרנט, אבל המוח שלי לא הצליח להתמודד עם זה".
ההאקר לא התרשם. עבודות קטנות מהסוג הזה לא משתלמות לו בהתחשב בכמות הכסף שהוא כבר מרוויח. טימופיבה שאלה אם יוכל למצוא דרך אחרת להתפרנס. ייתכן, ענה. "אבל אולי אני מניאק? אני אוהב כוח. אני יכול לחון ואני יכול להעניש. תחת השליטה שלי נמצא משהו חשוב לאדם, אולי אפילו החיים שלו... הכל תלוי רק בי. כוח יכול להיות דבר יפהפה, לא?"
"אין ספק שאתה מניאק", ענתה טימופיבה. "היה לי הרבה מזל עם מניאקים לאחרונה".
אחרי כמה דקות, היא פנתה אליו שוב. "אתה פה?"
"פה", ענה.
כמה עשרות מיילים לאחר מכן ההאקר נכנע. "כבר הספמת את כל האינבוקס שלי. תכתבי לי ב־ICQ". הוא נתן לה את המספר שלו בפלטפורמת ההודעות המיידיות. "טוב, מחר אוריד את זה", הבטיחה טימופיבה. "דרך אגב, קוראים לי לנה".
צילום: Ian Tuttle/Getty Images
האנליסט אלן ליסקה: "רוסיה מייצרת האקרים טובים במיוחד משום שיש בה הרבה בתי ספר טכנולוגיים, היסטוריה חזקה של מדעי המחשב וקריפטוגרפיה, אבל לא יותר מדי הזדמנויות עבודה"
הסדיסט שגר עם ההורים
גם להאקר היה שם. ואדים סירוטין היה בן 30 מסנט פטרבורג. באינטרנט, הוא השתמש באווטאר של נזיר חיוור עם זקן תיש, אף של חזיר ובטן נפוחה, ובחר בכינויים כגון Corrector the Magnificent ובאלקאש. במציאות, היה לו גוון עור חום־זית, לסת מרובעת ועיני כלב עצובות.
אחד התובעים יגדיר בשלב מאוחר יותר את סירוטין בבית המשפט "סדיסט", טענה שעורך הדין שלו דחה כחסרת בסיס, אך לפי הגדרתו שלו הוא היה קוסם. תוכנות הכופרה שלו פתחו פורטלים לעולמות שלמרבית האנשים אין גישה אליהם. כשחודרים למחשב של מישהו אחר, מקבלים הצצה לחיים הפנימיים שלו. סירוטין הסביר זאת פעם במדיה החברתית: יש שם בחורה שעובדת, או בחור שאוהב את העבודה שלו. יהיה רקע יפה או תמונה של הבת שלו, או גאדג'טים בדסקטופ. נכנסים, ובוקעת משם אנרגיה קורנת".
בהתכתבויות הראשונות ביניהם, טימופיבה נהגה להקניט את סירוטין. "לפי העצות שלך, אני מנחשת שאתה בסביבות גיל 16–18", כתבה. "מה זה משנה? :)", ענה. אלא שבמובנים רבים, סירוטין אכן לא היה באמת מבוגר. הוא גר עם הוריו בדירה בעיר התיירות טורמולינוס שבדרום ספרד, פחות משעת נסיעה ממורבייה שבה חיה טימופיבה. לפי התיאור שלו ושל החוקרים, החדר שלו היה עלוב. תמונות שהוצאו מהטלפונים המוחרמים שלו מראות חלל חשוך עם וילונות מוגפים ובלגן, כיסא גיימרים מסתובב, ערמת טלפונים לצד מזרן נטול סדינים.
כשפגש את טימופיבה, סירוטין עבד כמאבטח ויזם כמה הונאות מקוונות. אך אף אחת מהן לא היתה רווחית כמו קריאקל (Cryakl), תוכנת הכופרה שבה השתמש נגד המייל העסקי של טימופיבה. הוא אמר לה שהוא האדם הראשון שהשתמש בכופרה הזאת ברוסיה ובמדינות הגוש הסובייטי לשעבר, ושהחל בכך כבר ב־2009.
נראה שסירוטין אהב כל מה שקשור בלהיות האקר. הוא אהב את הכסף. הוא אהב את הכוח שהיה לו על הקורבנות. "כאן אני חצי אלוהים", הסביר לטימופיבה. "הרבה אנשים מכבדים אותי ואפילו פוחדים ממני, אבל בחיים האמיתיים אני כלום, אחד ממיליארדי אנשים חסרי ייחוד". במדיה החברתית הוא נהג לפרסם ממים גסים ומלאי קללות ושברירי מידע מהמשא ומתן שלו עם קורבנותיו: תמונות של צעירים שהמחשב שלהם נתקע ואז נאלצו לצייר איבר מין זכרי על המצח או לכתוב בדיו שחור על פני החזה שלהם "קורקטור הוא ההאקר הטוב ביותר", רק כדי שיוכלו להיכנס בחזרה למחשב. על אף ההבדלים הניכרים בין שניהם, הם התחברו. בתוך שבועות אחדים מאז שהחלו להתכתב, טימופיבה כבר עבדה עם סירוטין ולמדה ממנו. הוא לימד אותה כיצד עובד ממסר ספאם, מדוע אי אפשר ליצור מפצח אוניברסלי, כיצד להשתמש במחיצות מוצפנות ובמכונות וירטואליות כך שלא תשאיר עקבות לפשע במחשב שלה.
בתמורה, טימופיבה הציעה בקיאות עסקית. היא החלה למצוא דרכים חדשות להשגת גישה למאגרים של כתובות מייל, והציעה רעיונות לשיפור אופן העבודה. היא לקחה על עצמה את האחריות לגייס עובדים חדשים, לפקח עליהם, לקבוע את גובה המשכורות ולתקשר עם הקורבנות שאליהם התייחסו היא וסירוטין בהודעות בשם הקוד "אוגרים". בתוך שנה וחצי הפכה טימופיבה ל"מנהלת העבודה" של העסק של סירוטין, כך לטענת התובעים. היא ניהלה והדריכה את האנשים בדרג הנמוך שעשו את עבודת השטח. "העבדים", כפי שהיא וסירוטין קראו להם.
צילום: Jason Alden/Bloomberg
קיארן מרטין, לשעבר ראש אבטחת הסייבר של בריטניה: "האקרים רוסים צריכים להבין שני דברים: לא להתעסק עם רוסיה ועם האינטרסים הרוסיים ולקחת בחשבון שלעתים הממשלה תגייס אותם"
ההיסטוריה של הסחיטה
ב־1989, ביולוג אבולוציוני משונה ששמו ג'וזף פופ, שלח דיסקטים עם וירוסים ל־20 אלף המשתתפים בכנס האיידס של ארגון הבריאות העולמי. מאלו שנפגעו הוא דרש שישלחו כסף לתיבת דואר בפנמה תמורת "ריפוי" מחשביהם. זו היתה התקפת הכופרה המתועדת הראשונה. מאז, פשעי סייבר הפכו מורכבים בהרבה וקשים יותר לאכיפה. בעוד הפושעים המוקדמים בתחום הסתמכו על תשלומים באמצעות תעודות שי או המחאות בדואר שרשויות אכיפת החוק היו יכולות להתחקות אחריהן בקלות יחסית, הופעת מטבעות קריפטו שינתה את המשחק. ב־2021, הפושעים שעמדו מאחורי מתקפת הסייבר נגד חברת הנפט האמריקאית קולוניאל פייפליין, דרשו וקיבלו כופר בסכום 4.4 מיליון דולר שהועבר לארנק הביטקוין שלהם.
סירוטין היה חלק מהגל החדש הזה של פושעי כופרה, שחלק ניכר מהם הגיעו מרוסיה. בספר Ransomware שיצא ב־2016, טען אנליסט אבטחת הסייבר האמריקאי אלן ליסקה שהתפיסה הרווחת של האקרים כ"לוזרים שמנים שחיים במרתף של אמא שלהם", בפרפרזה על דבריו של דונלד טראמפ, היא תמימה. למעשה, הוא טען כי "מרבית יוזמי התקפות הכופרה מחשיבים את עצמם בחורים טובים בסיפורים שהם יוצרים". ליסקה מאמין שרוסיה מייצרת האקרים טובים במיוחד משום ש"יש שם אוכלוסייה משכילה, לפחות בכל הקשור להיבט הטכנולוגי. יש הרבה בתי ספר טכנולוגיים, היסטוריה חזקה של מדעי המחשב וקריפטוגרפיה, אבל לא היו יותר מדי הזדמנויות עבודה. כך נוצר מצב שבו יש הרבה מאוד אנשים מיומנים שלא בהכרח יודעים מה לעשות עם הכישורים שלהם".
לפי קיארן מרטין, לשעבר ראש המרכז הלאומי לאבטחת סייבר של בריטניה, האקרים רוסים צריכים להבין שני דברים: "לא להתעסק עם רוסיה ועם האינטרסים הרוסיים ולקחת בחשבון שלעתים ממשלת רוסיה תגייס אותם לשירות עבור המדינה". אבל סירוטין התעלם מהכללים או לא ידע על קיומם. הוא הביך והרגיז את השלטונות, והקורבנות שלו היו אזרחים רוסים שחיו מחוץ למדינה. כשסירוטין התחיל להפיץ את קוד הכופרה שלו, הוא נהג לשלוח למייל של הקורבנות מסמכי PDF נגועים שהוצגו כאילו נשלחו מרשויות ממשלתיות. כשטימופיבה הצטרפה אליו הם לקחו את המזימה צעד נוסף קדימה ובמקום להציף באופן אקראי מאות אלפי תיבות דואר אלקטרוני, אסטרטגיה שנקראת "לרסס ולהתפלל", הם החלו לפרוץ למחשבים באופן ישיר, דרך פרצות אבטחה מוכרות. הם עברו גם מסחיטה יחידה, שבה הקורבן חייב לשלם כדי לשחזר את הקבצים שלו, למודל של סחיטה כפולה. כלומר, לאיים שגם יפיצו את מסמכיו של הנסחט ברשת.
טימופיבה היתה זו שבשלב כלשהו הציעה שיפעילו שני עסקים — אחד שיפעל נגד רוסים והשני נגד משתמשים בינלאומיים. ב־2020, הם עברו מיתוג מחדש מקריאקל לקריילוק (Crylock). צעד שהתובעים תיארו כ"טכניקה ידועה שמטרתה להבליט גרסה חדשה של כופרה או לגרום למשטרה ולמערכת המשפט לחשוב שזו גרסה חדשה לגמרי".
הם גם גייסו האקרים נוספים שיעבדו כשותפים ויקבלו אחוז מהרווחים, תמורת פריצה והתקנת מוצרי הכופרה. ליסקה אומר שהאסטרטגיה הזו מזכירה את הביטוי הישן: "אתם רוצים למכור את אתי החפירה והמכושים לכורי הזהב, במקום לנסות לכרות אותו בעצמכם".
צילום: Bloomberg
פיוטר פיליפוביץ', פרקליטה של טימופיבה: "בדרך כלל אין למשטרה ראיות מסוג זה. מדוע שמישהו יפנה למשטרת בלגיה ויגיד 'יש לנו מידע על איזה שרת בהולנד', אם הוא לא קשור לעולם הזה?"
שאיפות ואהבה חד־צדדית
לטימופיבה היו שאיפות גדולות אף יותר. היא רצתה להקים עם סירוטין מיזם חוקי, אבל הוא הסתייג ממנו בטענה שכהאקר יוכל להרוויח יותר. היא גם רצתה יותר ממערכת היחסים שלהם. עד 2016 השניים כבר תקשרו באופן יומיומי, וטימופיבה נהגה להצהיר על אהבתה אליו לעתים קרובות, בעוד סירוטין מעולם לא השיב לה באותו המטבע. אם הוא לא היה עונה לה באופן מיידי, טימופיבה נהגה לברר אם הוא כועס עליה.
ביום חג המולד ב־2018 עלתה טימופיבה בפעם הראשונה על טיסה מרוסיה לספרד, שם נשארה עד סוף חופשת הסילבסטר. ב־9 בפברואר 2019, ארבע שנים בדיוק מאז היום שבו התכתבו השניים לראשונה, היא עברה לספרד לצמיתות. עם זאת, מערכת היחסים לא היתה קלה. "זה מורכב", יאמר סירוטין לחוקרים בהמשך. "לפעמים אנחנו חברים, לפעמים אנחנו זוג. אנחנו מתווכחים הרבה".
היה גם משהו נוסף. טימופיבה פחדה שסירוטין יחשוף אותה. היא חששה שהוא משלם לה משכורת מאותו ארנק ביטקוין ששימש לאיסוף תשלומי הכופר מהקורבנות. בשלב אחר היא טענה שהוא מרמה אותה. בסופו של דבר התברר שהפחדים שלה התמקדו במקום הלא נכון. רמז שיכול לסייע לחוקרים שרודפים אחרי האקר יכול להיות כל דבר — מכתובת הוטמייל שפורסמה בפורום לפני עשר שנים ושוחזרה בטעות ועד כניסה יחידה לשרת משותף בלי לשנות את כתובת ה־IP. "באופן כללי כל מי שנמצא באינטרנט מותיר אחריו עקבות", הסביר חוקר סייבר מהיורופול. "העבודה שלנו היא להתחקות על העקבות הללו".
במקרה של סירוטין, השגיאה הפטאלית הגיעה בצורת שתי רכישות מקוונות — סכין שנקנתה עם אותה כתובת מייל ששימשה לשכירת השרתים החשודים שהתגלו על ידי החוקרים, וזוג כרטיסי טיסה שקנה להורים שלו ממלגה לרוסיה, שנמצאו באותה תיבת דואר נכנס. לאחר המעצר שלהם ביוני 2023, גם טימופיבה וגם סירוטין תוחקרו על ידי שופט ספרדי. ואז הגיע טוויסט נוסף בעלילה: הם הועברו לבלגיה.
ביום גשום בחודש מאי השנה, ליוו שוטרים את טימופיבה וסירוטין לאולם בית משפט מחופה עץ בארמון הצדק בבריסל, בניין מהמאה ה־19. האור חדר מבעד לווילונות הבלויים והאיש באור קלוש את הטפט האדום שעל הקירות, שעוטר בקישוטים מוזהבים. שעון הקיר נתקע על השעה 10.
סירוטין וטימופיבה, לבושים בסרבלים, הובהלו לתוך החדר. הם הצטופפו על הספסל. שערה הארוך של טימופיבה האפיר, פניה היו נפוחות והשקיות שהופיעו מתחת עיניה גרמו לה להיראות מבוגרת מסירוטין בלפחות עשור. סירוטין, ששערו האפור גולח, הביט קדימה בפנים קפואות. הם היו עצורים כבר קרוב לשנתיים.
צילום: Christoph Dernbach/Getty Images
מיקו היפונן, מומחה אבטחת סייבר: "ההאקרים אינם חלק מהצבא הרוסי. אלו כנופיות שמועילות לממשלה הרוסית כיוון שהן תוקפות תשתיות מערביות בייחוד כשרוסיה במלחמה עם המערב"
הטיפ המסתורי והקשר הבלגי
התובע החל לפרט את המסקנות שלו מהחקירה, ובהדרגה הפך נחרץ יותר. "אני עובד בפשעי סייבר כבר 15 שנה ומעולם לא ביקשתי גזר דין ארוך כל כך". הוא התייחס לבקשתו לעונש מאסר של 10 שנים לסירוטין ושבע שנים לטימופיבה, אך כעת אמר לשופט שיש להוסיף לגזר הדין של כל אחד מהם שלוש שנים נוספות בשל סירובם לחשוף את הסיסמאות שלהם, דבר שפגע בהתקדמות החקירה.
הנאשמים לא ערערו על מרבית הראיות שהוצגו נגדם במשך שני ימי הדיונים. עורכת הדין של סירוטין, ז'ולי קרואט, הודתה שחלק מהתכנים בעמודי המדיה החברתית של הלקוח שלה הם "דוחים", אך טענה שלבלגיה אין את הסמכות החוקית לדון במקרה. "למה הפרשה הזו הגיעה לבלגיה?" דרשה לדעת בעודה פוסעת הלוך ושוב כשהיא עטויה בגלימה שחורה.
הסיבה לכך היתה שמשטרת בלגיה היתה מעורבת בחקירה נגד השניים מאז 2016, ובנתה עליהם באופן שיטתי תיקייה שלמה. בדרך כלל כשחוקרים פותחים בחקירת סייבר הם מתחילים מתלונה שמגיש קורבן ואז חופרים לאחור כדי למצוא את המקור לתקיפה. במקרה הזה, הם קיבלו "על מגש של זהב" רמז לגבי מיקומם של שני השרתים של קריאקל, כפי שאדם המעורב בחקירה ניסח זאת. הרמז הזה הוביל אותם למציאת יותר מ־30 שרתים נוספים, ואת מחציתם הם אפילו הצליחו לפצח.
השרתים שימשו להוצאתן לפועל של מתקפות הכופרה. הם הכילו גם מידע חשוב כמו מפתחות הפענוח של הכופרה. המפתחות הובילו לקורבנות ספציפיים, וכן לכתובת ה־IP שלהם. מהנקודה הזו חזרו החוקרים אחורה ומצאו מספיק קורבנות בלגיים כדי להצדיק את קיום המשפט במדינה.
עורכת הדין של סירוטין לא התרשמה. לטענתה, התביעה גרסה שמספר קורבנות הכופרה עמד על בין 44 אלף ל־400 אלף, אך היא מצאה רק שלוש חברות בבלגיה שהותקפו, ואף אחת מהן לא ספגה נזקים. "איפה הקורבנות?!... לבית המשפט הזה אין סמכות שיפוט בנושא מנקודת מבט טריטוריאלית", היא טענה.
סירוטין קיבל הזדמנות לדבר. הוא נראה מיואש ודיבר בקול גבוה. הוא הכחיש שכתב את הקוד לקריאקל וקריילוק, וביקש הבהרות בכל פעם שהשופט פנה אליו עם שאלות ישירות. הוא טען ששכח את הסיסמאות. "לא הייתי איש עשיר", אמר. "ראיתם איך חייתי".
אחריו הגיעה תורה של טימופיבה. היא החלה את דבריה בהתנצלות. התובע טען שכינתה את בית המשפט הבלגי "מטופש" בשיחת טלפון שצותתו לה אחרי מעצרה. "אני חושבת שהם לא תרגמו את זה נכון מרוסית", ענתה. "זה ביטוי אחר, שפירושו הוא בהחלט לא מטופש. אך בכל מקרה אני מתנצלת על כך. ייתכן שאמרתי משהו שלילי, אבל בוודאי לא עלבון לבית המשפט".
כן, היא הודתה שכינתה את האנשים שעבדו עבורה "ראבי", המילה הרוסית לעבדים. אך למעשה, טענה, היה מדובר בקיצור למילה רבוטניקי, שפירושה ברוסית עובדים. "המשפט הזה נגע בי. אף פעם לא דיברתי על זה, ומעולם לא קראתי למישהו עבד".
כמה שבועות לאחר מכן, השופט מסר את גזר הדין: סירוטין נידון לשבע שנים בכלא וטימופיבה לחמש שנים. השניים נשלחו לבתי כלא נפרדים בבלגיה. השופט קבע את הסכום בביטקוין שיועבר לרשויות. שניהם סירבו להגיב על שאלות ש"הפייננשל טיימס" שלח אליהם באמצעות עורכי דינם. המשפט הסתיים, אך בריאיון שהעניק ביולי, עורך הדין של טימופיבה הודה שמשהו עדיין מטריד אותו.
מהיכן הגיע המידע המפליל?
פיוטר פיליפוביץ', סנגור פלילי עב צוואר עם ראש מגולח ונישה מאוד ספציפית של לקוחות, ראה מקרים רבים דומים. "בדרך כלל אין למשטרה ראיות מסוג זה", הסביר בשיחת וידיאו שנערכה בקיץ. "יש להם מחשב נייד אחד או שניים, וקצת האזנות לטלפון". במקרה הזה משטרת בלגיה פעלה על בסיס הודעה בקשר לקיומם של שני שרתים, אחד בגרמניה והשני בהולנד.
"מדוע שמישהו יפנה למשטרת בלגיה ויגיד 'יש לנו מידע על איזה שרת בהולנד', אם הוא לא קשור לעולם הזה?" שאל ונשף בשפתיו. "אין לי מושג".
פיליפוביץ' לא ידע מהיכן הגיע המידע על השרתים. אך לחוקר נוסף מהיורופול שעסק בחקירה היה ניחוש: "הכל מתחיל מדו"ח אחד פשוט, מחוקר אחד שהיה מאוד מעוניין לחקור לעומק". אנשים רבים מעולמות הסייבר בבלגיה העלו את שמו של שוטר מקומי שהשיג ראשון את הראיות לפתיחת החקירה. הוא נחשב חלוץ של תפקיד ה"ראנר" במחלקת הסייבר — מפקח על רשת של מודיעים שגויסו בכנסים ואירועים אחרים למטרות איסוף מודיעין. פנינו אליו, אך הוא סירב לחשוף את המקור למידע שקיבל, ומסר רק שהוא הגיע מחוקר בחברת אבטחת סייבר פרטית. לדברי אנשים המעורים בפרטי החקירה, הבירור עדיין נמשך ולפחות אדם אחד המבוקש בשל קשריו עם קריילוק עדיין נעדר. ממשרד התובע הפדרלי נמסר כי אינם יכולים להגיב על המידע שקיבלו.
חברות אבטחה פרטיות חולקות מידע עם רשויות אכיפת החוק לעתים קרובות למדי. ליסקה, מומחה הכופרה, אמר כי הוא מעביר כל הזמן דו"חות ל־FBI, ל־GCHQ (ארגון הביון הבריטי) ולרשויות הקנדיות. לעתים, במסגרת העבודה הוא אף נתקל במיקום של שרתים שבהם משתמשים ההאקרים.
בכיר נוסף מהיורופול הודה שרשויות אכיפת החוק יהיו אבודות בלי הנדיבות של חברות האבטחה הפרטיות. במקרה הזה, חברה ספציפית היתה פעילה במיוחד בניטור הכופרה — חברת אבטחת הסייבר הרוסית קספרסקי. החברה עקבה אחרי קרייאקל במשך שנים. ב־2018 היא הכריזה שפענחה את הקוד "לאחר יותר משלוש שנים של מעקב ושל מאמץ כביר שבסופו של דבר עזר לגבור על פושעי הסייבר".
עם זאת, לא ברור כיצד בדיוק הפכה קספרסקי למעורבת בתיק, אם בכלל. עובד לשעבר שעבד עבור החברה כשהרשויות בבלגיה פתחו בחקירה שלהן אמר כי לא היה לו ידע על כך שקספרסקי סייעה לרשויות בבלגיה לפני פתיחת החקירה. עם זאת, המידע — ולא משנה מהיכן התקבל — הגיע בתקופה של שינוי שעברה קספרסקי והקשרים שהיא ניהלה עם המערב, לדברי אותו עובד.
ב־2017, שנה לאחר שהפרשה נפתחה בבלגיה, המשרד האמריקאי לביטחון המולדת הורה לכל סוכנויות הממשל להפסיק את השימוש במוצרי המחשוב של קספרסקי בשל חשש שהם עשויים "לספק גישה לתיקיות" על גבי המחשבים שבהם הם מותקנים. כמה חודשים לאחר מכן התגלה כי האקרים רוסים גנבו מסמכים מסווגים מהמחשב הביתי של עובד בסוכנות הביטחון הלאומי (NSA) בעזרת תוכנת אנטי־וירוס של קספרסקי שהותקנה על מחשבו. ב־2024 אסר הממשל האמריקאי על מכירת המוצרים של החברה בתחומי ארצות הברית. בקספרסקי מכחישים שהחברה עובדת עם רשויות המודיעין הרוסיות. בתגובה ל"הפייננשל טיימס", מסרה החברה שהיא חלקה את המומחיות שלה עם רשויות אכיפת חוק בכל רחבי העולם, כולל האינטרפול, ומאמינה ש"אין גבולות בשמירה על הביטחון".
וקיימת גם האפשרות הלא כל כך סבירה שהמידע הגיע ממישהו ברוסיה כמו האקר מתחרה, או מקורב לקרמלין שרצה בנפילתם של סירוטין וטימופיבה. מרבית כנופיות הסייבר הרוסיות לא קשורות באופן ישיר לממשלה, אך אין זה אומר שהן לא חולקות לעתים את אותם האינטרסים, אומר מיקו היפונן, מומחה אבטחת סייבר מהמובילים באירופה. "ההאקרים אינם חלק מהצבא הרוסי. אלה רק כנופיות שמועילות לממשלה הרוסית כיוון שהן תוקפות תשתיות מערביות, בייחוד בתקופת מלחמה".
לאחר שתשתחרר מהכלא, קרוב לוודאי שטימופיבה תגורש לרוסיה. התוקף של הוויזה הספרדית שלה פג עוד לפני מעצרה. בבית המשפט היא אמרה לשופט שאין לה שום רצון לשוב לקמרובו. "לא הרגשתי יותר בטוחה אחרי פרוץ המלחמה באוקראינה", אמרה. היא אף רמזה שהאווירה הגיאופוליטית הנוכחית מילאה תפקיד במעצר שלה ושל סירוטין, והזכירה את המונח "רוסופוביה". "המשפט הזה מושפע פוליטית", טענה לפני שפיליפוביץ' טפח על הכתף שלה ולחש משהו באוזנה. "טוב, אני אפסיק", אמרה והתיישבה בחזרה.
במהלך השנתיים שבהן ליווה אותה, פיליפוביץ' טוען שטימופיבה לא הפסיקה להפתיע אותו, והצליחה ללמוד גם צרפתית וגם הולנדית. "מי שמצליח ללמוד לדבר צרפתית בשנה אחת, הוא בהחלט לא טיפש", אמר, והוסיף כי להערכתו היא "החכמה" שבשניים.
הוא גם היה משוכנע שהיו לה רגשות אמיתיים כלפי סירוטין. "יש כמה מיילים שבהם ממש רואים שהיא העריצה אותו. מבחינתה הוא היה כמו המשיח, והיא עשתה כל מה שהוא רצה שתעשה", אמר. "רואים בכל המיילים האלה שהם באמת היו בני זוג. או לפחות ככה היא חשבה".
כמה שבועות אחרי סיום המשפט החליט סירוטין לערער על גזר הדין. עורכת הדין שלו אמרה כי לא משנה מה תהיה תוצאת הערעור, הוא מתכוון להימנע מחזרה לרוסיה וינסה לחדש את המסמכים הספרדיים שלו. טימופיבה לא ערערה, אך מתכוונת לבקש מקלט מדיני בבלגיה. עוד לפני פתיחת המשפט היא כבר ריצתה שנתיים מתוך חמש שנות המאסר שהוטלו עליה. לפי החוק בבלגיה, היא זכאית לבקש קיצור.
בשיחה הראשונה שלה עם סירוטין טענה טימופיבה שכסף הוא לא הכל בחיים, ושצריך שיהיו גם עקרונות. תחומי עניין. "אין שום דרך אחרת להשתמש במוח שלך כדי להרוויח כסף?" היא שאלה אותו. התשובה שלו לא היתה מספקת במיוחד.
לאחר יותר משנה של עבודה משותפת, היא חזרה על אותה נקודה. הכופרה היא "מעניינת", הודתה, אך היא לא מספיקה כדי להעניק "משמעות לחיים".
© "הפייננשל טיימס" בע"מ (2025). כל הזכויות שמורות. FT ו"הפייננשל טיימס" הם סימנים רשומים של "הפייננשל טיימס" בע"מ. אין להפיץ, להעתיק או לשנות בכל אופן שהוא.
