• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. Жуткое ДТП в Волковысском районе: погибли три человека, в том числе новорожденный ребенок
  2. «Шахтер» впервые стал обладателем Суперкубка Беларуси, победный пенальти забил вратарь
  3. Получающих зарплату «в конвертах» планируют привлекать по «административке»
  4. Суд по делу «ноль промилле», новые задержания, планы по экстрадиции Тихановской. Что происходило 2 марта
  5. «Деревня умирает! Здесь живут 4 человека — и все». История Анатолия, который работает в автолавке
  6. «Проверяли даже на близнецах». В метро запустили оплату проезда по лицу. Как это работает
  7. С 2 марта снова дорожает автомобильное топливо
  8. Был боссом Дудя, построил крутой бизнес в России, а сейчас помогает пострадавшим за позицию в Беларуси
  9. «Тут мы ощущаем жизнь». Как семья горожан обрела счастье в глухой деревне и открыла там бизнес
  10. Что известно о «собственной ракете для „Полонеза“», которую создали в Беларуси
  11. «Готовились к захвату зданий в Гомеле». СК — об экстрадиции Тихановской и деле в отношении ее доверенных лиц
  12. Минское «Динамо» проиграло СКА в первом матче Кубка Гагарина
  13. Приговор по делу о «ноль промилле»: полгода колонии журналистке TUT.BY и два года с отсрочкой врачу
  14. Чиновники обновили базу тунеядцев. С мая с иждивенцев будут брать по полным тарифам за отопление и газ
  15. Водители жаловались, что после поездки по М10 не могут отмыть машины. Вот что рассказали дорожники
  16. Прививать всех желающих от COVID-19 начнут в апреле. Вакцина будет от белорусского предприятия
  17. Минчанка из списка Forbes отсидела 20 суток и рассказала о «консервативном патриархате» в Жодино
  18. В Витебске увольняют Владимира Мартова — реаниматолога, который первым в Беларуси честно говорил о ковиде
  19. Горбачев: Я не раз говорил, что Союз можно было сохранить
  20. «Пары начинались в 3 утра». Белорусы, которые учатся в Китае, не могут вернуться в вуз
  21. Вот почему он стоит больше 100 тысяч евро. В Минск привезли первый Mercedes S-класса нового поколения
  22. «Единственным справедливым решением был бы оправдательный приговор». Заявление TUT.BY по делу «ноль промилле»
  23. Ватные палочки, серные пробки. Врач — о том, из-за чего еще слух может стать хуже
  24. Беларусбанк вводит лимиты по некоторым операциям с банковскими карточками
  25. Латушко ответил жене Макея: Глубина лицемерия и неспособность видеть правду и ложь просто зашкаливает
  26. Виктор Лукашенко получил звание генерал-майора запаса. Предыдущее его известное звание — капитан
  27. Лукашенко рассказал о подробностях переговоров с Путиным
  28. «Радуюсь „мягкому“ приговору для невиновных людей». Известные белорусы — о приговоре врачу и журналисту
  29. Какой будет погода весной и стоит ли прятать теплые пуховики в марте
  30. Суды над журналистами, маникюр прокурора, морозы и снег. Февраль-2021 — в фотографиях TUT.BY


Игорь Королев,

У ФСБ имеются "оперативные возможности" в платежной системе Webmoney, благодаря которым следствие раскрыло DDOS-атаку против "Аэрофлота". Узнав, на какие WM-кошельки переводились деньги за атаку, следствие выявило их владельцев, определило IP-адреса, проанализировало трафик и, таким образом, вышло на панель управления бот-сети.

CNews продолжает публикацию материалов уголовного дела владельца платежной системы Chronopay Павла Врублевского, которого ФСБ обвиняет в заказе DDOS-атаки на сервер конкурирующей системы "Ассист" с целью заблокировать возможность покупки электронных билетов на сайте "Аэрофлота". Секретность с материалов дела была снята постановлением заместителя руководителя оперативного управления 18 центра ФСБ А. Лютиковым. DDOS-атака проходила в период с 15 по 24 июля 2010 года, после чего "Ассист" обратился с заявлением в управление ФСБ по Санкт-Петербургу и Ленинградской области.

В поле зрения оперативников сразу попал кошелек в платежной системе Webmoney (WM), используемый человеком под псевдонимом Engel, следует из материалов дела. Также в распоряжении следствия оказалась электронная переписка сотрудников Chronopay (финансистов Максима Андреева и Натальи Клюевой со специалистами по безопасности Максимом Пермяковым и Станиславом Мальцевым), согласно которой в дни атаки ежедневно на указанный кошелек должно было переводиться по $500 с целью "PR и конкурентной борьбы". Чуть ранее на этот же кошелек из Chronopay было переведено еще $10 тыс. за создание "фармацевтического проекта".

Ниточка в Webmoney

В ФСБ заподозрили, что атаку осуществлял Engel по заказу Врублевского. С помощью "оперативных возможностей" в системе Webmoney было установлено, что упомянутый выше кошелек относится к WM-идентификатору, зарегистрированному на уроженца Ленинградской области Игоря Артимовича. Следствие получило доступ к журналу входов в систему за последние несколько месяцев, узнав таким образом IP-адрес Артимовича и контрольную сумму его оборудования (Engel использовал в программе WM Keeper метод авторизации путем проверки оборудования, с которого осуществляется вход).

С помощью контрольной суммы ФСБ обнаружило и остальные WM-идентификаторы, зарегистрированные на Артимовича (через год соответствующие документы были официально изъяты в ходе обысков в офисе Webmoney). Журнал транзакций подтвердил получение Артимовичем в дни атаки на "Ассист" денежных средств на общую сумму $20 тысяч. Согласно перехваченной переписке сотрудников Chronopay, кошелек, с которого приходили деньги, принадлежал этой компании.

Сделав запрос провайдеру, которому принадлежал упомянутый выше IP-адрес, "Национальные кабельные сети" (бренд Onlime) ФСБ установило, что адрес зарегистрирован на брата Игоря Артимовича Дмитрия (через год копия договора была изъята в ходе обысков у провайдера). На тот момент они вместе снимали квартиру в Москве. После этого следствие приняло решение провести оперативно-розыскные мероприятия (ОРМ) "КТКМ" в отношение дела оперативной разработки (ДОР) "Летчик".

Мосгорсуд выдал санкцию на снятие информации с используемых братьями Артимовичами интернет-каналов (от Onlime и "Скай Линк"), прослушивание их стационарного и мобильных телефонов (от "Вымпелкома", МТС и "Мегафона"), а также чтение электронной почты в домене artimovich.info. У Артимовичей было еще несколько ящиков на Mail.ru, но их заблокировала администрация. Кроме того, управление ФСБ по Санкт-Петербургу получило доступ к журналам посещения страницы Игоря Артимовича в сети "Вконтакте".

Отметим, что к концу лета Артимовичи выпали из поля зрения ФСБ, но на помощь следствию вновь пришла Webmoney. "Оперативные возможности" в этой системе позволили обнаружить их новые кошельки, а вместе с этим новые адреса электронной почты и номера мобильных телефонов, которые они пополняли (сами телефоны были зарегистрированы на подставных лиц). Выявлены были и новые IP-адреса: на этот раз Артимовичи заходили на Webmoney через мобильные сети "Скай Линк" и "Скартел" (бренд Yota). Впрочем, вскоре братья вновь исчезли. Управление "Т" ФСБ, взяв на контроль приобретение ими железнодорожных и авиабилетов, сообщило об отъезде Артимовичей в Киев. Весной 2011 года это же управление обнаружило их возвращение в Санкт-Петербург.

"За нами следит ФСБ. Уходим в Jabber"

Имея возможность отслеживания интернет-трафика, ФСБ смогло прочитать ICQ-переписку Артимовичей с неустановленными собеседниками. Один из них прислал ссылку на статью в Gazeta.ru о начале Единой баскетбольной лиги ВТБ. Собеседник указал на фото с соответствующей пресс-конференции: "Второй слева я. О***нный баскетболист, правда?".

Вторым слева на фотографии был Павел Врублевский. Рядом с ним сидел тогдашний вице-премьер и нынешний глава администрации президента Сергей Иванов. Далее неизвестный собеседник послал ссылку на пресс-релиз Chronopay со словами "наш релиз на тему". На вопрос Артимовича, является ли такого рода спонсорство рекламой Chronopay, собеседник дал следующий ответ: "Официально да. Неофициально посмотри биографию Сергея Борисовича Иванова, и ответы начнут прорисовываться".

Также собеседники обсуждали продажу наркотических средств ("контролов"), регистрацию нескольких десятков соответствующих доменов в зоне .Ru, оформление серверов на некоего Андрея Богданова и работу на форуме Spamdot (используется спамерами, торгующими за рубежом фармацевтикой). Анализ контакт-листа Артимовичей в ICQ показал, что они часто общаются с людьми, находящимися в поле зрения правоохранительных органов из-за распространения вредоносных программ. Но главное, на что обратило внимание следствие, это обнаружение подозреваемыми слежки. Собеседники обсуждали необходимость шифрования почты и жестких дисков, а также переход на новую версию ICQ с целью установки модуля шифрования Simp.

Собеседники заподозрили, что ФСБ пыталось устроить подставную встречу с неким Хохолковым подельником известного распространителя спама и вирусов Леонида Куваева, осужденного в настоящий момент на длительный тюремный срок за педофилию. Обсуждался также вопрос с переездом Артимовичей и съем квартиры на чужой паспорт. На вопрос одного из братьев "А что, ты очкуешь взять нам квартиру?" неизвестный собеседник дает откровенный ответ: "Я что, по-твоему, совсем с головой не дружу? На вас ФСБ охотится!". Далее разговор предлагается перевести в систему Jabber.

Впрочем, личность собеседника следствие так и не установило. Сам Врублевский заявил, что он не вел указанных переговоров. Предприниматель также добавил, что он не понимает, для чего в его дело была включена данная переписка. ОРМ в отношение Врублевского вообще результатов не дали: как отмечается в материалах дела, по телефону он общался только на бытовые темы.

Как ФСБ ищет пароли

Еще одним шагом следствия стал анализ интернет-трафика Артимовичей, для этого использовались программы Ufasoft Sniffer и WireShark (анализируют трафик в формате TCPDump). Таким образом были обнаружены факты установления защищенного соединения с двумя IP-адресами, принадлежащими американскому хостинг-провайдеру LayeredTech. На указанных адресах находилось приглашение для входа в панель управления программного обеспечения Topol-Mailer. Путем контекстного поиска в журналах трафика по слову "password" были найдены строки с логином и паролем, которые успешно подошли для входа в обе панели.

По мнению следствия, это были бот-сети с функциями прокси-серверов, позволяющие осуществлять крупномасштабные спам-рассылки и DDOS-атаки нескольких видов (UDP-Flood, TCP-Flood и HTTP-Get). На момент захода следователей в августе 2010 года обе бот-сети вместе насчитывали 20 тысяч зараженных компьютеров. Панель управления позволяла просмотреть статистику заражений с географическим распределением и информацию о "поставщиках" зараженных компьютеров, загружать образцы используемой вредоносной программы для конкретных поставщиков и ввести адреса для осуществления DDOS-атаки.

В числе адресов "жертв" бот-сети, согласно данным соответствующего раздела, были следующие фармацевтические ресурсы: 4allforum.com, accessbestpharmacy.com, canadian-rxonline.com, naturalviagraonline.com, glavmed.com, spamit.com, stimul-cash.com, yout-pills-online.com, ehost.by, spampeople.net, spamdot.us. Сами Артимовичи регулярно осуществляли спам-рассылки с рекламой фармацевтических препаратов с адресов в системе "Рамблер". Это навело следствие на мысль, что они атаковали своих конкурентов. Часть из атакованных ресурсов, как считается, принадлежит бывшему акционеру Chronopay Игорю Гусеву (известен своим конфликтом с Врублевским).

Полученные материалы были переданы эксперту компании Group-IB Дмитрию Волкову для проведения экспертизы. Волков осуществил выход на исследуемый ресурс через сервис виртуальных частных сетей CryptoCloud с иностранных IP-адресов. Проведя анализ ресурсов, он подтвердил выводы следствия о том, что речь идет о панели управления бот-сетью. Также специалист обратил внимание, что в дни атаки на "Ассист" число зараженных компьютеров резко возросло (до 250 тысяч). Сравнив со списком 25 тысяч адресов, участвовавших в атаке на "Ассист", Волков обнаружил, что треть из этих адресов присутствует в списке заражений бот-сети Артимовичей.

Специалист Group-IB провел также и исследование вредоносной программы, загруженной из бот-сети. Антивирус Eset NOD32 определил эту программу как Win32/Rootkit.Agent.NRD trojan, "Антивирус Касперского" как Rootkit.Win32.Tent.btt. С использованием программы-отладчика OllyDbg и дизассемблера IDA Pro 8.0 (позволяет получить код программы на языке низшего уровня) Волков установил, что данная программа без участия пользователя записывает в операционную систему драйвер для проведения DDOS-атак. Для получения команд драйвер периодически обращается к сетевым адресам, совпадающим с адресами бот-сети Артимовичей.

Впрочем, адреса "Ассист" в списке атакуемых адресов не было. Но каких-либо ограничений, не позволяющих осуществить DDOS-атаку на эту платежную систему с данной бот-сети, тоже нет. Поэтому Волков пришел к выводу, что она могла использоваться для расследуемой атаки. На основании результатов исследования Group-IB "оперативные источники из вирмейкерской среды" также подтвердили следствию этот вывод.

Также следствие зафиксировало обращения к другому американскому хостинг-провайдеру DCSManage, где Артимовичи в зашифрованном виде (с помощью программы PGP Desktop) хранили Topol-Mailer, программу для осуществления спам-рассылок, и базу данных почтовых адресов объемом 40 ГБ. Анализ остального интернет-трафика Артимовичей показал, что они осуществляли заход под аккаунтом администратора на форум спамеров Spamplanet.com, а также искали в "Яндексе" информацию по запросу "путин аэрофлот".

Врублевский считает, что техническая экспертиза DDOS-атаки на "Ассист" так и не была проведена. "В деле присутствует исследование только панели управления некой бот-сети, но следов атаки на "Ассист" там нет, отмечает предприниматель. Частичное совпадение IP-адресов, зараженных этой бот-сетью, с IP-адресами, с которых осуществлялась атака, не является доказательством. Один и тот же компьютер может быть заражен несколькими вирусами. Некоторое время хакеры даже проводят соревнования, удаляя с зараженных компьютеров вирусы конкурентов".

О том, с каким проблемами в дальнейшем столкнулось следствие, какие показания дали Артимовичи, Врублевский и другие участники дела, читайте в следующих материалах.
-15%
-10%
-35%
-35%
-15%
-50%
-30%
-20%
0072641