"Тероризъм с евентуален умисъл": Прокурорският провал с хакването на НАП

В началото на 2023 г. "Капитал" потърси обвиняемите по случая с цел да разбере какво се е случило през последните години. Малко след това прокуратурата изненадващо внесе обвинителния акт, който позволи да се види и официалната гледна точка на държавното обвинение, което от години не отговаря на въпроси на "Капитал" и други медии по отношение на случая. Важното в обвинителния акт не е само какво включва, но и какво липсва от него.

Гледната точка на обвиняемите, липсата на преки доказателства от прокуратурата заедно с някои разминавания в дати и твърдения в обвинителния акт повдигат много въпроси. Най-важният от тях е дали държавното обвинение е стигнало наистина до извършителите, защото след четири години на събиране на доказателства трудно би могло да се твърди, че в обвинителния акт се съдържат доказателства, които да доказват вина извън всякакви съмнения.

Обвинителният акт срещу Кристиян Бойков (на снимката) и Иван Тодоров бе върнат час след като бе внесен официално в съда през април Фотограф : Велко Ангелов Източник: Дневник

Когато всички научиха ЕГН-то на съседа

Публичната история започва на 15 юли 2019 г., когато три български медии получават анонимен мейл, регистриран в руската платформа Yandex. В него се съдържа линк към заключен архив, описателно обяснение за паролата и следното послание: "Правителството ви е бавноразвиващо се. Състоянието на киберсигурността ви е пародийно", написано на английски. Тези твърдения по принцип не се нуждаят от много доказателства, но данните в случая са повече от категорични.

Архивът се оказва 11 гигабайта данни, взети от НАП. Твърдението в имейла е, че са разпространени само половината от откраднатите данни. Папките в архива са разнообразни - в някои има само три имена и ЕГН, в други - данни от данъчни декларации, в трети има и IP адреси. Някои от данните идват от системата VAT_REFUND, която отчита възстановен ДДС, платен в чужбина. НАП бързо потвърждава, че изтеклите данни на общо над 5 млн. души, някои от които вече починали, са автентични.

Само два дни по-късно, в ранните часове на 17 юли, Софийската градска прокуратура (СГП) повдига обвинение на Кристиян Бойков, по това време 20-годишен специалист по киберсигурност, който работи в компанията "ТАД груп". Лицето на Бойков бързо обикаля всички медии, но той всъщност се е показвал по тях и преди - през 2017 г., когато все още е ученик, той хаква система на Министерството на образованието и науката (МОН). Вместо да се възползва от нея обаче, той сигнализира за проблемите и след това разказва за тях пред "Господари на ефира". Всъщност именно този сигнал води до назначаването му на работа в "ТАД груп" от собственика Иван Тодоров.

В последвалия информационен хаос различни институции и хора реагират по различен начин. Тогавашният премиер Бойко Борисов нарича Бойков "магьосник", а финансовият министър Владислав Горанов го определя като "терорист". Иван Гешев, който по това време вече е предопределен за бъдещ главен прокурор, също се спира на думата "тероризъм" и веднага свързва Бойков и "ТАД груп" с всичко, което не харесва: от партията "Да, България", през "протестърските медии", до "медии, свързани с подсъдимия Прокопиев" и дори Иван Костов.

Бойков отрича обвиненията в интервю пред bTV на 22 юли, но само два дни по-късно прокуратурата арестува и един от работодателите му - търговския директор на "ТАД груп" Георги Янков. Още няколко дни по-късно е задържан и собственикът на компанията Иван Тодоров.

И понеже законът предвижда сравнително леки наказания за компютърни престъпления, прокуратурата решава да ги обвини в тероризъм и разбира се - организирана престъпна група (ОПГ). Случаят отива в Специализираната прокуратура, която оставя Тодоров в ареста в продължение на седем месеца. Специализираната прокуратура бе закрита през 2022 г., преди да бъде внесен обвинителен акт по случая.

Тероризъм, ОПГ, рекет и... тишина

Оттам нататък случаят "НАПлийкс" се превръща в пълен хаос. Бойков, Янков и Тодоров на практика са обвинени във всичко възможно - от рекет на фирми до хакване на застрахователни дружества. В деня, в който прокурор Щъркелова обвинява компанията в "хакването на пръскачките", от ДАНС коментират, че няма информация за хакнати застрахователни компании, както твърди само часове по-рано прокуратурата.

В отговор на подигравките в интернет, прокуратурата преминава към медийно правосъдие. Първо разпространява разговор между Бойков и Янков от офиса на компанията, където Янков казва, че "Това в една бяла държава, правителството трябва да си замине с всички, с всички." След още няколко дни са разпространени и свидетелски показания, според които "ТАД груп" са рекетирали масово компании. Един свидетел например разказва, че още през 2018 г. от "ТАД груп" са писали на компанията му, че има пробойни в защитата и това е посочено като рекет.

Рекет, в смисъла на финансово изнудване чрез заплаха за разпространение на данни, липсва. В най-лошия случай става дума за неетична корпоративна практика, защото бизнесът на "ТАД груп" е именно да прави тестове на сайтове и софтуер, за да намери уязвимости в тях. Ако от фирми са взимани данни без тяхно разрешение, това е проблем, но рекетът предполага заплаха, чрез която да се реализира финансов интерес, каквито в случая няма. Такова обвинение не е повдигнато, но въпреки това свидетелите се споменават на няколко места в обвинителния акт.

След тези бурни седмици през 2019 г. следва тишина. Случаят е забравен, в България идва коронавирусът, след това и протестите през 2020 г. Няколко пъти български медии повдигат въпроса какво се случва и защо няма обвинителен акт. "Капитал" иска неколкократно информация от Специализираната прокуратура, включително и дни преди закриването ѝ, но не получава отговор.

През това време случаят малко по малко се разпада. През март 2022 г. прокуратурата снема обвиненията от Георги Янков, съответно вече няма как да става дума за ОПГ, в което по определение трябва да участват най-малко трима души. Самият Янков, който в дните след пускането си под гаранция дава няколко интервюта, впоследствие потъва в тишина. В актуален разговор с "Капитал" той обобщава:

"Сутринта цъфнаха в офиса, задържаха ме и мен. После ни казаха - ОПГ. И тук историята се изчерпва, защото за тези години, докато паднат обвиненията ми и после година по-късно внесат обвинителния акт, нямаше никакво движение. За мен това беше голям стрес - аз през живота си съм имал най-тежко прегрешение превишена скорост. Изведнъж се оказвам с две обвинения - в тероризъм и ОПГ. Един ден се оказва, че не само работиш с терористи, но и самият ти си терорист, а прокуратурата вече те е обвинила и осъдила по телевизията."

Обвиненията срещу бившия търговски директор Георги Янков са снети през 2022 г., с което пада и цялото обвинение в ОПГ Източник: bTV

Янков твърди не само, че самият той не е правил нищо незаконно, но и че течът не е дошъл от "ТАД груп" или Бойков. За него историята не е приключила. Неговите обвинения са свалени с мотив за липса на доказателства, докато той настоява те да бъдат свалени заради липса на извършено престъпление.

"Ние сега, макар да изглежда парадоксално, обжалваме свалянето на обвиненията, за да мине през съдебен контрол и те да бъдат свалени заради липса на извършено престъпление, а не заради липса на доказателства. При сегашното положение във всеки момент могат да кажат, че има нови доказателства и аз пак да стана обвиняем. Аз, както е модерно да се казва, стоя на трупчета", казва той.

В разговора с Янков става дума и за неговата реплика за падането на правителството, която е широко разнасяна от прокуратурата като доказателство, защото е направена часове след пускането на мейла към медиите. Янков дава съвсем различно обяснение за репликите - той е възмутен не от изтеклите данни от НАП, които твърди, че никога не е виждал, а от пълната незаинтересованост на държавата към уязвимост в Комисията за защита на личните данни (КЗЛД), за която от "ТАД груп" сигнализират от години.

Това, според него, е обяснението и за чата на Бойков в Telegram с "Биволъ", използван като медийно доказателство от прокуратурата: след като държавата не прави нищо по въпроса с КЗЛД, Янков и Бойков се обръщат към изданието, което действително публикува материал по темата на 12 юли 2019 г., три дни преди разпространението на данни от НАП.

"В онзи разговор, който прокуратурата извади как си говорим с Кристиян, че "някой трябва да си ходи", въобще не става дума за НАП. Става дума за КЗЛД и това, че няколко пъти вече им казвахме, че им е пробита системата, а те не реагираха. Накрая се обърнахме към "Биволъ" и те го написаха", казва Янков.

Янков прави и още едно уточнение: който и да е хакнал НАП, реалното разпространение на данните става от телевизиите, които показват в ефир линка към архива и паролата за него.

"Никой не е разпространявал никакви данни. Първият мейл, доколкото си спомням, беше към медии - архив с парола. Разпространението стана, когато две телевизии пуснаха в ефир линка към този архив и паролата към него. Това е фактическото разпространение. Аз до днес не съм виждал тази база данни. Сигурно съм един от малкото хора в държавата, които не са виждали данните", казва Янков.

"Kpuccc": Как прокуратурата стига до Кристиян Бойков

Когато прокуратурата все пак внесе обвинителен акт в началото на март 2023 г., той отговори на много въпроси, но и повдигна множество други. Като например какво липсва.

Казано накратко, липсва медийното правосъдие. Никъде няма обвинение за рекет, атакувани застрахователни дружества или хакнати имейли, за каквито става дума в изказванията и разпространените доказателства през 2019 г. Обвинението все още е най-тежкото възможно - тероризъм по чл. 108а от Наказателния кодекс, чрез компютърно престъпление. Но понеже вече няма ОПГ, Бойков е посочен за извършител, а Тодоров - за помагач, поради факта, че е осигурил на служителя си лаптоп и място за работа.

Според обвинителния акт Кристиян Бойков е идентифициран от директор в държавната "Информационно обслужване", който при проверка на архива установил, че е направен от потребител на име "Kpuccc", изписано със символи на латиница (или "на латински", както пише прокуратурата). Оттам започнал търсене в Google и открил, че потребител с такова име съществува в сайтове като xaker.bg и bgcyber. Във форум на онлайн игра стига и до името на Кристиян Бойков, регистрирал се със същия псевдоним. Ден по-късно Бойков е арестуван.

Самата НАП разбира за пробива от въпроси, пратени от "Капитал" веднага след получаването на линка с архива. Впоследствие служител на ГДБОП казва, че "при преглед на съдържанието на архива, съдържащ се в горепосочения линк, със .csv файлове в дигиталната папка се установява наличието на файл, именуван със следното съдържание: "DESKTOP-Kpuccc", което е индикатор, че потребител "Kpuccc", вписан в операционна система Windows на компютърна програма, наименувана на 11 май 2019 г. в 11:49 часа, е отговарял за разглеждане на файла."

Тук започват разминаванията, защото според същия свидетел на прокуратурата "са налични логове на сървърните конфигурации на НАП, в които се съдържа информация за нерегламентиран достъп до сайта на 29 юни чрез използването на специален софтуерен инструмент."

Мишмашът от дати става още по-сложен, когато се прибавят и свидетелските показания на бивши колеги на Бойков. Според един от тях Бойков е писал в общ чат, че "НАП тая вечер си заминава" още през април, а друг служител - че на 10 юли се е похвалил как е "хакнал нещо голямо". Друг бивш служител казва, че Бойков го е попитал за помощ за хакване на НАП, "като уточни, че иска да хакнем домейните nap.bg и nra.bg". Никой от тях обаче не е директен свидетел на хакване.

Димящото дуло или пък не: файлът .lock.DEC73_DETAILS.csv

Прокуратурата на практика разчита само на едно директно доказателство: на работния компютър на Бойков не е намерено нищо друго, което да го уличава, освен файл в неразпределеното пространство на компютъра с име ".lock.DEC73_DETAILS.csv", създаден на 11 май 2019 г. от потребител DESKTOP-NSTGGRP. Неразпределеното пространство е място в компютъра, на което се пазят данни от изтрити файлове.

Според прокуратурата този файл е предоставен на ГДБОП, "които са направили сравнения между текста от изтрития файл и полученото второ писмо от "Икономедиа" (уточняващия мейл на "Капитал" след получаването на архива - бел. ред.). При извършения сравнителен анализ е установено, че съдържанието на двата файла е идентично. Това обстоятелство безспорно установява, че именно обв. Кристиян Бойков е човека, който е получил запитване от страна на медиите, относно публикуването на информацията и той е върнал обратния мейл на 16.07."

Освен това прокуратурата твърди, че от компютъра е ползван софтуерът BetterCap за търсене на пробойни в сайта на НАП, а впоследствие и инструмент за премахване на метаданни от табличен файл. Други косвени доказателства са търсения за компресиране на архив и създаване на анонимен мейл в тъмната мрежа, от който според прокуратурата е пратен един от последващите мейли след въпроси на "Нова".

Проблемът в единственото директно доказателство е технически: "Иззетият компютър, на който се твърди от прокуратурата, че е извършено престъплението, е с операционна система Linux. Повечето специалисти, които се занимават с киберсигурност, предпочитат да работят на Linux. А въпросният локфайл е създаден под операционна система Windows. Всеки човек с добри компютърни познания може да добави локфайл допълнително с каквото пожелае потребителско име, особено ако цели да уличи друго лице в престъпление", казва пред "Капитал" адвокат Асен Асенов, който представлява Кристиян Бойков.

Той добавя, че въпросът с операционните системи е повдигнат още през 2019 г., по време на селективното вадене на доказателства пред медиите. Един от хората, който обръща внимание на логическата дупка в случая с локфайла е Светлин Наков, основател на "СофтУни" и едно от най-добре познатите лица в българския IT сектор.

В случая възможните обяснения са две. Първото възможно обяснение е, че файлът не е създаден на компютъра на Бойков. Второто е, че даден компютър може да има и две операционни системи, най-често за да се тества софтуер на него. Това би обяснило и защо файлът е създаден от DESKTOP-NSTGGRP, а не от DESKTOP-Kpuccc. В обвинителния акт обаче такова обяснение липсва.

Ако въпросният локфайл е създаден по-късно, това води със себе си два проблема. Първият е, че целият наратив на прокуратурата пропада. Вторият е, че тогава се появява друга въпросителна: дали може да става дума за подхвърлено доказателство, сложено в компютъра след като той е иззет като доказателство и съответно само малък брой държавни служители имат достъп до него. И ако да, колко от доказателствата на прокуратурата са надеждни.

Датите на компютрите по правило не са надеждна информация, защото машините могат да бъдат "връщани" виртуално назад. В случая става дума за файл, оставен като следа от текстов редактор, но от прокуратурата не посочват в обвинителния акт кой точно редактор. Тежестта за доказване в случая пада върху държавното обвинение.

Според Асен Асенов, адвокат на Кристиян Бойков, единственото директно доказателство на прокуратурата не е автентично, защото е правено на различна операционна система спрямо ползваната от Бойков Фотограф : Надежда Чипева

Асенов поставя под съмнение и начина, по който прокуратурата е стигнала до Бойков по начало - търсенето на потребител "Kpuccc" в Google от страна на служител на "Информационно обслужване".

"Всичко това противоречи на елементарната житейска логика. При търсене в Google на "Kpuccc" излизат хиляди резултати на хора от България и по света, които ползват това потребителско име. Как по-точно установиха, че точно Кристиян Бойков е потребителя с това име, не е ясно", казва Асенов. "На нито един от служебните компютри на "ТАД груп" не е открита въпросната база данни на НАП, нито каквито и да било преки доказателства, които да уличават Бойков в хакерската атака."

Друга дупка в обвинението е, че според експертиза до системата на НАП е имало множество опити за нерегламентиран достъп, но нито една от IP адрес, свързан с обвиняемите. "Два от тези адреси са български - от единия от тях са извършени повече от 12 хил. заявки. Никой не е разследвал кой седи зад тези адреси. Никъде експертизата не установява IP адреси, които по някакъв начин да са свързани с "ТАД груп" или Бойков", казва още Асенов.

Това конкретно твърдение на адвоката се потвърждава и от решение на Административния съд София-град (АССГ) от февруари 2023 г., според което е нарушен "принципът на отчетност - липсват одитни записи на отделните събития и дневници за привилегированите потребители", които са имали достъп до системата.

"НАП е направила невъзможното да се установи истинският извършител на тази атака. От решението на административния съд по случая става ясно, че множество хора са имали права за достъп до информационните системи на НАП, за чиито действия не се пазят данни. Всеки един супер потребител е можел да прави каквото си иска - да трие, да променя данни, без това да се записва", добавя Асенов.

Държавата, това е Борисов. И е невинна

Обвинението в тероризъм предполага нещо повече от компютърно престъпление. Затова прокуратурата стига до заключението, до което Иван Гешев е стигнал предварително: че всеки, който говори против правителство на Бойко Борисов, говори против цялата държава като институция. Според прокуратурата от цитат на Георги Янков, в който бившият директор казва "то като погледнеш, че той е на власт трети мандат", може да се "направи извод, че се касае именно за управлението на страната", както и за "антидържавна насоченост."

Друг извод е, че евентуалната дейност на Бойков "е била насочена срещу установения с Конституцията обществен и държавен строй."

Да се каже, че това е преувеличение, би било слабо твърдение. Година по-късно, при протестите през 2020 г., прокуратурата ще направи същите ментални упражнения, за да започне да подслушва протестиращи. Тя приравнява конкретно правителство, което е с ограничен мандат - в случая третото на Бойко Борисов, с държавата като институция. За да се стигне до заключението, че някой е искал да разруши установения обществен и държавен строй, се предполага не някой да иска да падне дадено правителство (желание, което огромен брой българи изпитват към всяко правителство), но и да бъде направен опит за преврат или да се смени насилствено устройството от парламентарна република на нещо друго.

След като приравнява държавата на Борисов, прокуратурата също така я освобождава от всякаква отговорност за случилото се. Така въпреки че АССГ стига до заключението, че пробивът е осъществен "поради техническа уязвимост на информационните системи и пропуски в конфигурациите на мрежово ниво", а генералният адвокат на ЕС Джовани Питруцела да казва, че НАП не може да бъде освободена от отговорност, българската прокуратура не вижда вина в държавата. Напротив, тя е жертва, защото нейният престиж е бил уронен.

Тъжна приказка без край

Един час след като обвинителният акт стигна до съда на 5 април 2023 г., близо четири години след изтичането на данни, той бе върнат. Основните причини са две: "сериозни процесуални грешки" и неяснота в какво точно са обвинени Бойков и Тодоров. Един от големите прокурорски пропуски е, че в единия случай Тодоров е помагал с "евентуален умисъл", а в другия - с "обективен умисъл". Така Иван Тодоров се оказва първият човек в историята, извършил тероризъм по погрешка.

Начинът, по който според прокуратурата Тодоров е помогнал на Бойков, също е красноречив: той е помогнал за извършването на терористичния акт, "като му е предоставил лаптоп Lenovo, осигурил му е помещение и интернет връзка." Това е в разрез с първоначалните тези на държавното обвинение, които представят Тодоров като опасен престъпник и шеф на компания, която се занимава активно с рекет. Прокуратурата не посочва доказателства, че лаптопът, помещението и интернет връзката са предоставени с конкретната цел да бъде извършено престъпление, въпреки че го твърди в прав текст.

Иван Тодоров прекарва седем месеца в ареста. Официалното обвинение срещу него е, че е извършил тероризъм, като е осигурил лаптоп на свой служител Фотограф : Велко Ангелов

За това си деяние Иван Тодоров лежи в ареста седем месеца. В това време "ТАД груп" прекратява дейност. Също в това време Тодоров спира да държи и франчайза в България за веригата ресторанти за сандвичи Subway. "Капитал" не успя да се свърже с Иван Тодоров за този материал, но при предишен разговор с журналист от изданието посочи, че делото няма общо с правата за Subway, от които се е отказал заради прекалено висока цена.

След края на "ТАД груп", според информация на "Капитал", голяма част от специалистите се оказват безработни, макар в България да има глад за подобни кадри. Причината: те се разглеждат като потенциални терористи. След няколко месеца част от екипа на "ТАД груп" са привлечени към новосъздаденото дружество CyberLev, дъщерна компания на застрахователната "Лев инс". Хората, с които "Капитал" говори, категорично отричат да става дума за рейдърство. Иронията е, че по същото време към компанията-майка "Лев инс" се присъединява и Явор Колев, който през юли 2019 г. е ръководител на отдел "Киберпрестъпления" към ГДБОП.

Към момента прокуратурата протестира връщането на обвинителния акт, като държи, че всичко в него е наред. Остава отворен въпросът и защо обвинителният акт е внесен едва четири години по-късно. Най-актуалните данни в него са към 2020 г.

Държавата не понася никаква отговорност за случая. През август 2019 г. КЗЛД глобява НАП с 5 млн. лв., но понеже и двете са държавни институции, това е преместване на пари от единия джоб в другия - или, както се изразява Владислав Горанов, "нетна операция, която няма да се отрази на нищо. Каквото е било, такова и ще бъде, стабилност има."

Въпреки това не може да се каже, че последствия от случая с НАП няма. Малко след него парламентът налага минимални изисквания за хардуер, софтуер и информационна защита. "Информационно обслужване" пък се превръща в единствена обслужваща компания за много от критично важните звена в държавата, включително и НАП.

Георги Янков, който първо е набеден за терорист, а сега стои "на трупчета" без активно обвинение, казва, че най-тежката част е била и си остава недоверието, с което хората вече гледат на него. Неговото обобщение пред "Капитал" е обобщение за целия жанр медийно правосъдие, наложен от прокуратурата и Иван Гешев: "За мен, за работата ми, за клиентите ми, това е ужасна тежест. Не защото някой от тях вярва, че съм хакнал НАП, но защото за този случай се изписаха тонове материали и аз бях търкалян три години като обвиняем", казва Янков.