В США посадили в тюрьму россиянина, создавшего хакерский сервис для обхода антивирусов
В США предъявлены обвинения двум операторам сайта, позволявшего авторам вредоносного ПО проверять, детектируют ли его антивирусы. Операторов, один из которых гражданин России, обвиняют в мошеннических действиях с использованием электронных средств.
VirusTotal для вирусописателей
Министерство Юстиции США предъявило обвинения гражданину России Юрию Мартышеву и жителю Латвии Руслансу Бондарсу (Ruslans Bondars), владельцам ресурса, который позволял авторам вредоносного софта проверять, детектируются ли их разработки антивирусами. По сути сервис аналогичен VirusTotal, с той лишь разницей, что данные проверки не попадали к разработчикам антивирусов.
Подобных ресурсов в Сети существует немало, некоторые функционируют совершенно в открытую. Ими активно пользуются авторы вредоносных программ самого разного толка, чтобы убедиться в «невидимости» своих разработок.
Из документов Минюста название самого ресурса вымарано, однако отмечается, что сервис был «одним из крупнейших», и его активно использовали для тестирования RAT-инструментов, шифровальщиков и троянов. Ресурс существовал с 2006 г., и количество его клиентов достигало 30 тыс.
Создатели сайта также активно продавали API, которые авторы вредоносного ПО, выставляемого на продажу, могли включать в свои разработки, чтобы клиенты проверяли, детектируются ли эти инструменты антивирусами.
Обвиняемым инкриминируется создание и продажа инструментов для разработки вредоносных файлов на заказ, ПО для обеспечения скрытности вредоносных файлов от антивирусов, а также троянов для получения удаленного доступа и кейлоггеров (считывателей нажатия клавиш).
В документе также упоминается некий сообщник Бондарса и Мартышева, известный под ником Z.S.; его обвиняют в создании кейлоггера, который использовали в общей сложности 3 тыс. клиентов ресурса. Жертвами этой вредоносной программы в 2012 г. стали 16 тыс. компьютеров.
«Согласно статье 273 УК России, речь идет о создании компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации», — отмечает Георгий Лагода, генеральный директор компании SEC Consult Rus».
«Если создатели сайта предоставляли разработчикам вредоносного программного обеспечения API для проверки на детектируемость антивирусами, то речь может идти о части 2 статьи 273, то есть создатели данного ресурса могут классифицироваться как группа лиц, вступившая в предварительный сговор с частным разработчиком или группой лиц, для создания вредоносного программного обеспечения, — продолжает он. — В случае установления пострадавших от деятельности ПО, которое использовало данную API, судом может рассматриваться каждый отдельный случай ущерба, что в сумме может привести к отягчающим обстоятельствам, и привести к лишению свободы разработчиков на более длительный срок. Скорее всего, американское законодательство в этой сфере в целом аналогично».
Это был Scan4You?
Сторонние эксперты подозревают, что разбирательство касается ресурса Scan4You, неожиданно прекратившего функционировать весной 2017 г. Исследователи в последнее время обнаруживали его API во многих сэмплах вредоносного ПО.
Сайт Scan4You не функционирует, однако закэшированная копия в Google позволяет выяснить, что со своих клиентов владельцы сайта брали либо помесячную оплату в размере $30, либо $0,15 за каждый скан.
Помимо него из сети на протяжение прошлого года исчезли и несколько других аналогичных ресурсов: AnonScanner, RazorScanner и BlackShades Scanner. О них и их владельцах пока никакой информации нет.
Экстрадиция российского гражданина
Мартышев был арестован властями Латвии и выдан ими по запросу США по подозрению в кибермошенничестве.
5 июля 2017 г. посольство России в США заявило, что рассматривает данный арест «как очередной случай похищения российского гражданина американскими властями в нарушение действующего двустороннего соглашения о взаимной правовой помощи по уголовным делам от 1999 г.».
Прокуратура Восточного округа Вирджинии, в ведении которой находится дело, не стала комментировать обвинения российского посольства.