Завеждащият отдел "Киберпрестъпления" на Националната следствена служба, казва още:
Нашият наказателен процес е един от най-силно формализираните в света
Част от хората, изнудвани от "Емил Кюлев", са платили и не са сезирали органите
В казуса "Кюлев" има и свидетелки показания. Проверяваме и много други събрани доказателства
- Г-н Василев, по ваше разследване бе задържан и обвинен хакерът Теодор Илиев, познат и като “Емил Кюлев”. Колко време го разследвахте, преди да се стигне до задържането му?
- Имаше две досъдебни производства, свързани с него. Едното бе възложено на Националната следствена служба в началото на годината, а другото, доколкото си спомням, през март. След това бяха обединени. Събрахме още доказателства и пристъпихме към реализация с колегите от ГДБОП. На практика около 4-5 месеца сме разследвали “Кюлев”.
- За 4 г. той е замесен в 35 компютърни престъпления. Само бази данни ли е точил, или е извършвал и други престъпления?
- Данните, които имаме, сочат, че е извършил и други престъпления, но това е в процес на доказване. На първоинстанционното съдебно заседание за определяне на мярката за неотклонение са цитирани свидетелски показания. Разполагаме и с други доказателства. Работим и с партньорски служби по казуси, които също са свързани с “Кюлев”. Установявамe и други негови връзки. При всички положения тези престъпления, за които е обвинен, няма да останат единствените.
- В първоинстанционния съд се спомена за евентуални данни за принуда към някои от лицата.
- Има такива. В момента, в който съберем достатъчно доказателства, които го свързват с такова престъпление, ще бъде обвинен. Но това ще реши наблюдаващият прокурор.
- А за какви други компютърни престъпления имате данни, че е извършвал, но засега не е обвинен за тях?
- Сега не мога да коментирам. При тези разследвания заличаването и укриването на доказателствата е изключително лесно.
- Приемал ли е поръчки, или е действал сам?
- Имаме информация, но не е редно да коментирам.
- Известно е, че е изнудвал жертвите си за пари. Какви суми е искал и колко хора са си платили?
- Сумите са различни. Установихме, че част от хората, които са изнудвани, са платили и не са сезирали правоохранителните органи. Част от тези, които не са плащали, пък са подали жалби. Всичко това ще бъде обект на допълнително изследване, тъй като още се проверяват всички трансакции от и към известните ни негови адреси на криптоактиви. Проверяват се и други, свързани с него доказателства. Извършва се голяма по обем работа, която е свързана с получаване на информация от най-различни други юрисдикции, включително със съдействие на наши партньорски служби. Всичко това се уточнява.
- С колко биткойна е разполагал? Чу се в съдебна зала, че опитвал да препира парите. Как го е правил?
- В съда е цитиран един протокол за оглед. Това е една от многото трансакции, които е осъществил. Става въпрос за около 16 биткойна (около 800 000 долара към онзи момент - б.а.) и за една особеност на блокчейн веригата на биткойна. Tова е един от способите, който се използва за укриване на произхода на средствата, получени в криптоактиви. Нарича се peel chain. Извършват се множество малки трансакции. Основното количество биткойни реално не се прехвърлят, а остават на различни адреси в един и същ портфейл. Това се прави обикновено с цел да бъдат заблудени съответните борси, при които пристигат като краен получател криптоактивите. Целта е да бъдат заблудени относно произхода на тези средства и да изглежда, че са от напълно легален източник. Това е в най-опростен вид, има доста вариации и темата е доста дълга.
- Общо 16 биткойна за 4 г. или това е само една от трансакциите?
- Една от трансакциите. Не са 16 биткойна за 4 г. в никакъв случай. Имаме данни колко са и със сигурност не са двуцифрена сума, а са повече.
- Да разбирам, че е трицифрено число?
- Може да се окаже, че е и над трицифрено число. Още не знаем точно, постоянно излизат нови доказателства. В момента сме в началото на разследването. То е при нас от няколко месеца. Много по-лесно щеше да бъде, ако подсъдността беше на НСлС и бяхме започнали разследването през 2020 г.
- Споменахте 2020 г. Илиев е обвинен за хакването на една спедиторска компания, станало точцно тогава. Спомням си, че за източването на тази база данни за виновен се призна Даниел Ганчев, познат и като InstaKilla.
- Това е нещо, което в момента няма как да коментирам, тъй като е свързано с действия по разследването.
- Илиев бе в Сърбия. От разследващите ли се “криеше”, или от изнудваните?
- Най-добре е да попитате него от кого се е крил.
- Той твърди, че няма общо.
- И пред нас твърди, че няма нищо общо с престъпленията, в извършването на които е обвинен. Явно първоинстанционният съд, който го остави в ареста, е на различно мнение. Относно решението на САС - не коментирам (виж карето долу).
- При задържането му един лаптоп полита от прозореца и пада на улицата. Унищожена ли е информацията в него?
- Не, не е.
- А колко устройства сте иззели, надали “Емил Кюлев” е ползвал едно?
- Доста голям брой. Все пак имаше претърсване и изземване на 22 адреса. Анализът на съдържанието на иззетите носители на електронни доказателства продължава. От някои устройства са добити интересни данни. Анализът на други предстои.
- Говорим за експертизи. Знаем, че подобни дела за хакване се крепят основно на тях.
- Не само на тях. Има и свидетелски показания. Проверяваме и множество други доказателства, включително и трансакциите в криптоактиви от използвани от него портфейли. Имаме достъп до нужния софтуер и платформи. Единственият проблем е, че не разполагаме с необходимите закони.
- Kакви трябва да са те? Спомням си, че за същото престъпление - източване на база данни от НАП, може би без изнудването, беше задържан Кристиян Бойков, който ще се споразумее за административно наказание, тъй като тогавашното законодателство предвиждаше до 3 г. затвор?
- Това досъдебно производство не е било при нас и няма как да го коментирам. Но проблемът не е свързан с наказанията за компютърните престъпления. Той е основно в уредбата на процесуалните правила. Съветският съюз се разпадна преди повече от 30 г., но в нашия Наказателно-процесуален кодекс все още преобладават остатъци от това време. Те са свързани и с начина, по който се третират електронните доказателства.
Сигурно сте го чували многократно, но нашият наказателен процес е един от най-силно формализираните в света. Като общуваме с чуждестранни колеги по казуса с “Кюлев” и обясняваме, че на всеки два месеца трябва да искаме продължаване на срока, те не разбират какво е това. Според тях разследването продължава, докато се съберат доказателства, а не в някакъв определен времеви отрязък.
Никой от колегите, с които съм говорил в Западна Европа и САЩ, не разбира и нашето случайно разпределение, изискването за поемни лица, обвинителните актове от хиляди страници и защо нашият наказателен процес е устроен така. Той е съвкупност от остатъците от съветската правна доктрина и не особено удачни изменения през последните 30 г. Ние още имаме поемни лица, обикновено това са случайно намерени хора, които трябва да удостоверят, че органите на досъдебното производство извършват законосъобразни действия.
Имаме множество разпоредби, които нямат аналог в развитите държави и пречат на нормалната работа. В последните години имаше и няколко експеримента със Закона за съдебната власт, които много затрудняват работата на специализираните отдели на НСлС и прокуратурата. Например командироването на магистрати по някакви причини беше ограничено до 6 месеца, но само за прокурори и следователи. За това време при зле работеща уредба за конкурсите в съдебната власт не може да обучиш никого, особено в сложна материя като разследването на киберпрестъпления. А и той не може да приключи сериозно дело за 6 месеца. И това са неща, които не само ние не ги разбираме. Никой от колегите, с които работим от партньорските служби и прокуратури, не ги разбира. Но се надяваме, че все пак в парламента ще достигнат скоро до извода, че подобни текстове трябва да бъдат премахнати, за да бъде работата ни по-ефективна. Има няколко законопроекта, които са готови, вкарани. Един от тях е изработен в работна група на Министерството на правосъдието. Свързан е с това, че България е в сивия списък на глобалния надзорен орган Financial Action Task Force (FATF) като държава, в която прането на пари е изключително улеснено.
- Наскоро извадиха Турция от списъка.
- Да, нея я извадиха, Албания също, но нас ни оставиха. При нас все още не е престъпление даже кражбата на самоличност. Преди една година парламентът не го прие, надяваме се сега резултатът да е различен.
- Ако тя стане престъпление, ще могат ли да се искат трафичните данни?
- Проектът позволява искането на трафични данни. Друг е проблемът с тях. Те са уредени така, че голяма част от това, което НПК определя като трафични данни, всъщност е информация за ползвателя. Това е описано и в регламент на ЕС, който ще влезе в сила през 2026 г. Там по-голямата част от това, което се третира като трафични данни, всъщност е информация за ползвателя, а не са трафични данни.
- Как е в чужбина?
- Миналата година бяхме с главния прокурор в Испания и посетихме отдела на прокуратурата им за киберпрестъпления. Те са 150 души в цяла Испания. Разказаха ни, че в края на всяка година изготвят доклад, свързан с това кои законови текстове в техния Наказателен кодекс работят, какви промени трябва да се направят и какви нови текстове трябва да се вкарат. Знаете, че материята за киберпрестъпленията се развива много бързо и затова искат тяхното мнение. И много голяма част от предложенията им се приемат.
- В отчета на нашия главен прокурор има предложения, но не съм чул някое да е минало.
- За съжаление, и аз не съм чул някой да пита хората, които се занимават с разследване и доказане на престъпленията какво им е необходимо като нормативна уредба. Имаше проект, който предвиждаше част от тежките компютърни престъпления да дойдат в Националната следствена служба. Предвиждаха се доста положителни изменения. Например промяна в уредбата на престъпленията срещу интелектуалната собственост. Той обаче придоби такъв вид в правната комисия и в пленарната зала, че беше трудно разпознаваем.
- Реално колко от делата за компютърни престъпления идват при вас?
- Зависи. Правната уредба е такава, че делото идва при нас, след като ни го възложи главният прокурор. Дори да се извърши едно компютърно престъпление, минават няколко месеца. По същия начин беше и с хакването на “Български пощи”. Минаха няколко месеца, извадихме късмет, намерихме доказателства за самоличността на извършителя. Той не беше особено грамотен, беше оставил “отпечатъци”. Проследихме адресите му, с които е искал откуп, установихме къде е, до коя борса е стигнал. Намерихме му и банковата сметка, и банковата карта, и други данни. Рускоговорещ е.
- Няма как да бъде задържан.
- В момента да, но не се знае в бъдеще какво ще стане. По принцип това, което най-много ни пречи, е времето, което минава между извършването на престъплението и пристигането на делото тук. Ако тези дела срещу лицето “Емил Кюлев” бяха дошли при нас през 2020-2021 г., голяма част от престъпленията, извършени в по-късен период, просто нямаше да бъдат извършени, защото щеше да е задържан и обвинен.
CV
- Роден е през 1970 г. в Габрово
- Завършил магистратура по Право в Софийския университет "Св. Климент Охридски"
- Доктор по Право на Софийския университет "Свети Климент Охридски"
- Автор на "Методика за разследване на киберпрестъпления"
- Преподавател в магистърска програма "Киберсигурност" на Техническия университет в София
- От 1995 до 1997 г. работи като следовател в Столична следствена служба
- От 2000 до 2004 г. е прокурор в Софийска районна прокуратура
- През август 2004 г. заема длъжността заместник-директор на Столична следствена служба
- От юни 2012 г. до настоящия момент е следовател в Националната следствена служба (НСлС)
- От 1 септември 2022 г. е завеждащ новосъздадения отдел "Киберпрестъпления" в НСлС
Съдът пусна Теодор Илиев, нямало данни да е хакерът “Кюлев”
Има една книжка - “Разследване на компютърни престъпления”. Г-н прокурор, намерете я и я дайте на разследващите. Компютърни престъпления не се доказват със свидетели, а с експертизи.
С тези думи съдия Галя Георгиева от Софийския апелативен съд се обърна към прокурор Борислав Владимиров, след като съдебният състав, в който освен нея бяха Даниела Росенова и Красимира Райчева, реши да пусне Теодор Илиев от ареста. Вместо това той ще е с подписка. 21-годишният младеж е обвинен, че е източил базите данни на 35 компании. Правел го под псевдонима “Емил Кюлев”.
Магистратите обаче посочиха, че по делото няма категорични доказателства за връзката на Илиев с псевдонима. Липсвали експертизи, които да свързват ползвани от него IP адреси с хакванията. Вместо това имало данни, че неправомерните достъпи са от чуждестранни IP-та. По принцип хакери ползват VPN, с който да заблудят разследващите. По делото обаче не бе споменато Илиев да е имал такъв.
Решението на съда е окончателно.
