Расследование: как ФСБ ловит хакеров

Безопасность Бизнес Госрегулирование Стратегия безопасности Администратору Законодательство
мобильная версия
, Текст: Игорь Королев
У ФСБ имеются «оперативные возможности» в платежной системе Webmoney, благодаря которым следствие раскрыло DDOS-атаку против «Аэрофлота». Узнав, на какие WM-кошельки переводились деньги за атаку, следствие выявило их владельцев, определило IP-адреса, проанализировало трафик и, таким образом, вышло на панель управления бот-сети.

CNews продолжает публикацию материалов уголовного дела владельца платежной системы Chronopay Павла Врублевского, которого ФСБ обвиняет в заказе DDOS-атаки на сервер конкурирующей системы - «Ассист» - с целью заблокировать возможность покупки электронных билетов на сайте «Аэрофлота». Секретность с материалов дела была снята постановлением заместителя руководителя оперативного управления 18 центра ФСБ А. Лютиковым. DDOS-атака проходила в период с 15 по 24 июля 2010 г, после чего «Ассист» обратился с заявлением в управление ФСБ по Санкт-Петербургу и Ленинградской области.

В поле зрения оперативников сразу попал кошелек в платежной системе Webmoney (WM), используемый человеком под псевдонимом Engel, следуют из материалов дела. Также в распоряжении следствия оказалась электронная переписка сотрудников Chronopay (финансистов Максима Андреева и Натальи Клюевой со специалистами по безопасности Максимом Пермяковым и Станиславом Мальцевым), согласно которой в дни атаки ежедневно на указанный кошелек должно было переводиться по $500 с целью «PR и конкурентной борьбы». Чуть ранее на этот же кошелек из Chronopay было переведено еще $10 тыс. за создание «фармацевтического проекта».

Ниточка в Webmoney

В ФСБ заподозрили, что атаку осуществлял Engel по заказу Врублевского. С помощью «оперативных возможностей» в системе Webmoney было установлено, что упомянутый выше кошелек относится к WM-идентификатору, зарегистрированному на уроженца Ленинградской области Игоря Артимовича. Следствие получило доступ к журналу входов в систему за последние несколько месяцев, узнав таким образом IP-адрес Артимовича.

Далее ФСБ обнаружило и остальные WM-идентификаторы, зарегистрированные на Артимовича (через год соответствующие документы были официально изъяты в ходе обысков в офисе Webmoney). Журнал транзакций подтвердил получение Артимовичем в дни атаки на «Ассист» денежных средств на общую сумму $20 тыс. Согласно перехваченной переписке сотрудников Chronopay. кошелек, с которого приходили деньги, принадлежал этой компании.

Сделав запрос провайдеру, которому принадлежал упомянутый выше IP-адрес — «Национальные кабельные сети» (бренд Onlime) - ФСБ установило, что адрес зарегистрирован на брата Игоря Артимовича Дмитрия (через год копия договора была изъята в ходе обысков у провайдера). На тот момент они вместе снимали квартиру в Москве. После этого следствие приняло решение провести оперативно-розыскные мероприятия (ОРМ) в отношении используемых братьями Артимовичами интернет-каналов (от Onlime и «Скай Линк»), прослушивание их стационарного и мобильных телефонов (от «Вымпелкома», МТС и «Мегафона»), а также чтение электронной почты в домене artimovich.info. У Артимовичей было еще несколько ящиков на Mail.ru, но их заблокировала администрация. Кроме того, управление ФСБ по Санкт-Петербургу получило доступ к журналам посещения страницы Игоря Артимовича в сети «Вконтакте».

Отметим, что к концу лета Артимовичи выпали из поля зрения ФСБ, но на помощь следствию вновь пришла Webmoney. «Оперативные возможности» в этой системе позволили обнаружить их новые кошельки, а вместе с этим новые адреса электронной почты и номера мобильных телефонов, которые они пополняли (сами телефоны были зарегистрированы на подставных лиц). Выявлены были и новые IP-адреса: на этот раз Артимовичи заходили на Webmoney через мобильные сети «Скай Линк» и «Скартел» (бренд Yota). Впрочем, вскоре братья вновь исчезли. Управление «Т» ФСБ, взяв на контроль приобретение ими железнодорожных и авиабилетов, сообщило об отъезде Артимовичей в Киев. Весной 2011 г. это же управление обнаружило их возвращение в Санкт-Петербург.

«За нами следит ФСБ. Уходим в Jabber»

Имея возможность отслеживания интернет-трафика, ФСБ смогло прочитать ICQ-переписку Артимовичей с неустановленными собеседниками. Один из них прислал ссылку на статью в Gazeta.ru о начале Единой баскетбольной лиги ВТБ. Собеседник указал на фото с соответствующей пресс-конференции: «Второй слева — я. О***нный баскетболист, правда?».

Вторым слева на фотографии был Павел Врублевский. Рядом с ним сидел тогдашний вице-премьер и нынешний глава администрации президента Сергей Иванов. Далее неизвестный собеседник послал ссылку на пресс-релиз Chronopay со словами «наш релиз на тему». На вопрос Артимовича, является ли такого рода спонсорство рекламой Chronopay, собеседник дал следующий ответ: «Официально — да. Неофициально — посмотри биографию Сергея Борисовича Иванова и ответы начнут прорисовываться».

Также собеседники обсуждали продажу наркотических средств («контролов»), регистрацию нескольких десятков соответствующих доменов в зоне .Ru, оформление серверов на некоего Андрея Богданова и работу на форуме Spamdot (используется спамерами, торгующими за рубежом фармацевтикой). Анализ контакт-листа Артимовичей в ICQ показал, что они часто общаются с людьми, находящимися в поле зрения правоохранительных органов из-за распространения вредоносных программ. Но главное, на что обратило внимание следствие, это обнаружение подозреваемыми слежки. Собеседники обсуждали необходимость шифрования почты и жестких дисков, а также переход на новую версию ICQ с целью установки модуля шифрования Simp.

Собеседники заподозрили, что ФСБ пыталось устроить подставную встречу с неким Хохолковым — подельником известного распространителя спама и вирусов Леонида Куваева, осужденного в настоящий момент на длительный тюремный срок за педофилию. Обсуждался также вопрос с переездом Артимовичей и съем квартиры на чужой паспорт. На вопрос одного из братьев «А что ты очкуешь взять нам квартиру» неизвестный собеседник дает откровенный ответ: «Я что по-твоему совсем с головой не дружу? На вас ФСБ охотится!». Далее разговор предлагается перевести в систему Jabber.

Впрочем, личность собеседника следствие так и не установило. Сам Врублевский заявил CNews, что он не вел указанных переговоров. Предприниматель также добавил, что он не понимает, для чего в его дело была включена данная переписка. ОРМ в отношение Врублевского вообще результатов не дали: как отмечается в материалах дела, по телефону он общался только на бытовые темы.

Как ФСБ ищет пароли

Еще одним шагом следствия стал анализ интернет-трафика Артимовичей, для этого использовались программы Ufasoft Sniffer и WireShark (анализируют трафик в формате TCPDump). Таким образом были обнаружены факты установления защищенного соединения с двумя IP-адресами, принадлежащими американскому хостинг-провайдеру LayeredTech. На указанных адресах находилось приглашение для входа в панель управления программного обеспечения Topol-Mailer. Путем контекстного поиска в журналах трафика по слову «password» были найдены строки с логином и паролем, которые успешно подошли для входа в обе панели.

По мнению следствия, это были бот-сети с функциями прокси-серверов, позволяющие осуществлять крупномасштабные спам-рассылки и DDOS-атаки нескольких видов (UDP-Flood, TCP-Flood и HTTP-Get). На момент захода следователей в августе 2010 г. обе бот-сети вместе насчитывали 20 тыс. зараженных компьютеров. Панель управления позволяла просмотреть статистику заражений с географическим распределением и информацию о «поставщиках» зараженных компьютеров, загружать образцы используемой вредоносной программы для конкретных поставщиков и ввести адреса для осуществления DDOS-атаки.

В числе адресов «жертв» бот-сети, согласно данным соответствующего раздела, были следующие фармацевтические ресурсы: 4allforum.com, accessbestpharmacy.com, canadian-rxonline.com, naturalviagraonline.com, glavmed.com, spamit.com, stimul-cash.com, yout-pills-online.com, ehost.by, spampeople.net, spamdot.us. Сами Артимовичи регулярно осуществляли спам-рассылки с рекламой фармацевтических препаратов с адресов в системе «Рамблер». Это навело следствие на мысль, что они атаковали своих конкурентов. Часть из атакованных ресурсов, как считается, принадлежит бывшему акционеру Chronopay Игорю Гусеву (известен своим конфликтом с Врублевским).

Полученные материалы были переданы эксперту компании Group-IB для проведения экспертизы. Он осуществил выход на исследуемый ресурс через сервис виртуальных частных сетей CryptoCloud с иностранных IP-адресов. Проведя анализ ресурсов, он подтвердил выводы следствия о том, что речь идет о панели управления бот-сетью. Также специалист обратил внимание, что в дни атаки на «Ассист» число зараженных компьютеров резко возросло (до 250 тыс.). Сравнив со списком 25 тыс. адресов, участвовавших в атаке на «Ассист», эксперт обнаружил, что треть из этих адресов присутствует в списке заражений бот-сети Артимовичей.

Специалист Group-IB провел также и исследование вредоносной программы, загруженной из бот-сети. Антивирус Eset NOD32 определил эту программу как Win32/Rootkit.Agent.NRD trojan, «Антивирус Касперского» - как Rootkit.Win32.Tent.btt. С использованием программы-отладчика OllyDbg и дизассемблера IDA Pro 8.0 (позволяет получить код программы на языке низшего уровня) эксперт установил, что данная программа без участия пользователя записывает в операционную систему драйвер для проведения DDOS-атак. Для получения команд драйвер периодически обращается к сетевым адресам, совпадающим с адресами бот-сети Артимовичей.

Впрочем, адреса «Ассист» в списке атакуемых адресов не было. Но каких-либо ограничений, не позволяющих осуществить DDOS-атаку на эту платежную систему с данной бот-сети, тоже нет. Поэтому специалист Group-IB пришел к выводу, что она могла использоваться для расследуемой атаки. На основании результатов исследования Group-IB «оперативные источники из вирмейкерской среды» также подтвердили следствию этот вывод.

Также следствие зафиксировало обращения к другому американскому хостинг-провайдеру — DCSManage, где Артимовичи в зашифрованном виде (с помощью программы программной PGP Desktop) хранила Topol-Mailer, программу для осуществления спам-рассылок и базу данных почтовых адресов объемом 40 ГБ. Анализ остального интернет-трафика Артимовичей показал, что они осуществляли заход под аккаунтом администратора на форум спамеров Spamplanet.com, а также искали в «Яндексе» информацию по запросу «путин аэрофлот».

Врублевский считает, что техническая экспертиза DDOS-атаки на "Ассист" так и не была проведена. "В деле присутствует исследование только панели управления некой бот-сети, но следов атаки на "Ассист" там нет, - отмечает предприниматель. - Частичное совпадение IP-адресов, зараженных этой бот-сетью с IP-адресами, с которых осуществлялась атака, не является доказательством. Один и тот же компьютер может быть заражен несколькими вирусами. Некоторое время хакеры даже проводят соревнования, удаляя с зараженных компьютеров вирусы конкурентов".

О том, с каким проблемами в дальнейшем столкнулось следствие, какие показания дали Артимовичи, Врублевский и другие участники дела читайте в следующих материалах CNews.

Ранее CNews писал о том, как "Лаборатория Касперского" пыталась защитить "Ассист" от DDOS-атаки.