Как ФСБ России ловит хакеров

Источник материала:  
14.01.2013 15:50 — Новости Hi-Tech
У ФСБ имеются "оперативные возможности" в платежной системе Webmoney, благодаря которым следствие раскрыло DDOS-атаку против "Аэрофлота". Узнав, на какие WM-кошельки переводились деньги за атаку, следствие выявило их владельцев, определило IP-адреса, проанализировало трафик и, таким образом, вышло на панель управления бот-сети.

CNews продолжает публикацию материалов уголовного дела владельца платежной системы Chronopay Павла Врублевского, которого ФСБ обвиняет в заказе DDOS-атаки на сервер конкурирующей системы "Ассист" с целью заблокировать возможность покупки электронных билетов на сайте "Аэрофлота". Секретность с материалов дела была снята постановлением заместителя руководителя оперативного управления 18 центра ФСБ А. Лютиковым. DDOS-атака проходила в период с 15 по 24 июля 2010 года, после чего "Ассист" обратился с заявлением в управление ФСБ по Санкт-Петербургу и Ленинградской области.

В поле зрения оперативников сразу попал кошелек в платежной системе Webmoney (WM), используемый человеком под псевдонимом Engel, следует из материалов дела. Также в распоряжении следствия оказалась электронная переписка сотрудников Chronopay (финансистов Максима Андреева и Натальи Клюевой со специалистами по безопасности Максимом Пермяковым и Станиславом Мальцевым), согласно которой в дни атаки ежедневно на указанный кошелек должно было переводиться по $500 с целью "PR и конкурентной борьбы". Чуть ранее на этот же кошелек из Chronopay было переведено еще $10 тыс. за создание "фармацевтического проекта".

Ниточка в Webmoney

В ФСБ заподозрили, что атаку осуществлял Engel по заказу Врублевского. С помощью "оперативных возможностей" в системе Webmoney было установлено, что упомянутый выше кошелек относится к WM-идентификатору, зарегистрированному на уроженца Ленинградской области Игоря Артимовича. Следствие получило доступ к журналу входов в систему за последние несколько месяцев, узнав таким образом IP-адрес Артимовича и контрольную сумму его оборудования (Engel использовал в программе WM Keeper метод авторизации путем проверки оборудования, с которого осуществляется вход).

С помощью контрольной суммы ФСБ обнаружило и остальные WM-идентификаторы, зарегистрированные на Артимовича (через год соответствующие документы были официально изъяты в ходе обысков в офисе Webmoney). Журнал транзакций подтвердил получение Артимовичем в дни атаки на "Ассист" денежных средств на общую сумму $20 тысяч. Согласно перехваченной переписке сотрудников Chronopay, кошелек, с которого приходили деньги, принадлежал этой компании.

Сделав запрос провайдеру, которому принадлежал упомянутый выше IP-адрес, "Национальные кабельные сети" (бренд Onlime) ФСБ установило, что адрес зарегистрирован на брата Игоря Артимовича Дмитрия (через год копия договора была изъята в ходе обысков у провайдера). На тот момент они вместе снимали квартиру в Москве. После этого следствие приняло решение провести оперативно-розыскные мероприятия (ОРМ) "КТКМ" в отношение дела оперативной разработки (ДОР) "Летчик".

Мосгорсуд выдал санкцию на снятие информации с используемых братьями Артимовичами интернет-каналов (от Onlime и "Скай Линк"), прослушивание их стационарного и мобильных телефонов (от "Вымпелкома", МТС и "Мегафона"), а также чтение электронной почты в домене artimovich.info. У Артимовичей было еще несколько ящиков на Mail.ru, но их заблокировала администрация. Кроме того, управление ФСБ по Санкт-Петербургу получило доступ к журналам посещения страницы Игоря Артимовича в сети "Вконтакте".

Отметим, что к концу лета Артимовичи выпали из поля зрения ФСБ, но на помощь следствию вновь пришла Webmoney. "Оперативные возможности" в этой системе позволили обнаружить их новые кошельки, а вместе с этим новые адреса электронной почты и номера мобильных телефонов, которые они пополняли (сами телефоны были зарегистрированы на подставных лиц). Выявлены были и новые IP-адреса: на этот раз Артимовичи заходили на Webmoney через мобильные сети "Скай Линк" и "Скартел" (бренд Yota). Впрочем, вскоре братья вновь исчезли. Управление "Т" ФСБ, взяв на контроль приобретение ими железнодорожных и авиабилетов, сообщило об отъезде Артимовичей в Киев. Весной 2011 года это же управление обнаружило их возвращение в Санкт-Петербург.

"За нами следит ФСБ. Уходим в Jabber"

Имея возможность отслеживания интернет-трафика, ФСБ смогло прочитать ICQ-переписку Артимовичей с неустановленными собеседниками. Один из них прислал ссылку на статью в Gazeta.ru о начале Единой баскетбольной лиги ВТБ. Собеседник указал на фото с соответствующей пресс-конференции: "Второй слева я. О***нный баскетболист, правда?".

Вторым слева на фотографии был Павел Врублевский. Рядом с ним сидел тогдашний вице-премьер и нынешний глава администрации президента Сергей Иванов. Далее неизвестный собеседник послал ссылку на пресс-релиз Chronopay со словами "наш релиз на тему". На вопрос Артимовича, является ли такого рода спонсорство рекламой Chronopay, собеседник дал следующий ответ: "Официально да. Неофициально посмотри биографию Сергея Борисовича Иванова, и ответы начнут прорисовываться".

Также собеседники обсуждали продажу наркотических средств ("контролов"), регистрацию нескольких десятков соответствующих доменов в зоне .Ru, оформление серверов на некоего Андрея Богданова и работу на форуме Spamdot (используется спамерами, торгующими за рубежом фармацевтикой). Анализ контакт-листа Артимовичей в ICQ показал, что они часто общаются с людьми, находящимися в поле зрения правоохранительных органов из-за распространения вредоносных программ. Но главное, на что обратило внимание следствие, это обнаружение подозреваемыми слежки. Собеседники обсуждали необходимость шифрования почты и жестких дисков, а также переход на новую версию ICQ с целью установки модуля шифрования Simp.

Собеседники заподозрили, что ФСБ пыталось устроить подставную встречу с неким Хохолковым подельником известного распространителя спама и вирусов Леонида Куваева, осужденного в настоящий момент на длительный тюремный срок за педофилию. Обсуждался также вопрос с переездом Артимовичей и съем квартиры на чужой паспорт. На вопрос одного из братьев "А что, ты очкуешь взять нам квартиру?" неизвестный собеседник дает откровенный ответ: "Я что, по-твоему, совсем с головой не дружу? На вас ФСБ охотится!". Далее разговор предлагается перевести в систему Jabber.

Впрочем, личность собеседника следствие так и не установило. Сам Врублевский заявил, что он не вел указанных переговоров. Предприниматель также добавил, что он не понимает, для чего в его дело была включена данная переписка. ОРМ в отношение Врублевского вообще результатов не дали: как отмечается в материалах дела, по телефону он общался только на бытовые темы.

Как ФСБ ищет пароли

Еще одним шагом следствия стал анализ интернет-трафика Артимовичей, для этого использовались программы Ufasoft Sniffer и WireShark (анализируют трафик в формате TCPDump). Таким образом были обнаружены факты установления защищенного соединения с двумя IP-адресами, принадлежащими американскому хостинг-провайдеру LayeredTech. На указанных адресах находилось приглашение для входа в панель управления программного обеспечения Topol-Mailer. Путем контекстного поиска в журналах трафика по слову "password" были найдены строки с логином и паролем, которые успешно подошли для входа в обе панели.

По мнению следствия, это были бот-сети с функциями прокси-серверов, позволяющие осуществлять крупномасштабные спам-рассылки и DDOS-атаки нескольких видов (UDP-Flood, TCP-Flood и HTTP-Get). На момент захода следователей в августе 2010 года обе бот-сети вместе насчитывали 20 тысяч зараженных компьютеров. Панель управления позволяла просмотреть статистику заражений с географическим распределением и информацию о "поставщиках" зараженных компьютеров, загружать образцы используемой вредоносной программы для конкретных поставщиков и ввести адреса для осуществления DDOS-атаки.

В числе адресов "жертв" бот-сети, согласно данным соответствующего раздела, были следующие фармацевтические ресурсы: 4allforum.com, accessbestpharmacy.com, canadian-rxonline.com, naturalviagraonline.com, glavmed.com, spamit.com, stimul-cash.com, yout-pills-online.com, ehost.by, spampeople.net, spamdot.us. Сами Артимовичи регулярно осуществляли спам-рассылки с рекламой фармацевтических препаратов с адресов в системе "Рамблер". Это навело следствие на мысль, что они атаковали своих конкурентов. Часть из атакованных ресурсов, как считается, принадлежит бывшему акционеру Chronopay Игорю Гусеву (известен своим конфликтом с Врублевским).

Полученные материалы были переданы эксперту компании Group-IB Дмитрию Волкову для проведения экспертизы. Волков осуществил выход на исследуемый ресурс через сервис виртуальных частных сетей CryptoCloud с иностранных IP-адресов. Проведя анализ ресурсов, он подтвердил выводы следствия о том, что речь идет о панели управления бот-сетью. Также специалист обратил внимание, что в дни атаки на "Ассист" число зараженных компьютеров резко возросло (до 250 тысяч). Сравнив со списком 25 тысяч адресов, участвовавших в атаке на "Ассист", Волков обнаружил, что треть из этих адресов присутствует в списке заражений бот-сети Артимовичей.

Специалист Group-IB провел также и исследование вредоносной программы, загруженной из бот-сети. Антивирус Eset NOD32 определил эту программу как Win32/Rootkit.Agent.NRD trojan, "Антивирус Касперского" как Rootkit.Win32.Tent.btt. С использованием программы-отладчика OllyDbg и дизассемблера IDA Pro 8.0 (позволяет получить код программы на языке низшего уровня) Волков установил, что данная программа без участия пользователя записывает в операционную систему драйвер для проведения DDOS-атак. Для получения команд драйвер периодически обращается к сетевым адресам, совпадающим с адресами бот-сети Артимовичей.

Впрочем, адреса "Ассист" в списке атакуемых адресов не было. Но каких-либо ограничений, не позволяющих осуществить DDOS-атаку на эту платежную систему с данной бот-сети, тоже нет. Поэтому Волков пришел к выводу, что она могла использоваться для расследуемой атаки. На основании результатов исследования Group-IB "оперативные источники из вирмейкерской среды" также подтвердили следствию этот вывод.

Также следствие зафиксировало обращения к другому американскому хостинг-провайдеру DCSManage, где Артимовичи в зашифрованном виде (с помощью программы PGP Desktop) хранили Topol-Mailer, программу для осуществления спам-рассылок, и базу данных почтовых адресов объемом 40 ГБ. Анализ остального интернет-трафика Артимовичей показал, что они осуществляли заход под аккаунтом администратора на форум спамеров Spamplanet.com, а также искали в "Яндексе" информацию по запросу "путин аэрофлот".

Врублевский считает, что техническая экспертиза DDOS-атаки на "Ассист" так и не была проведена. "В деле присутствует исследование только панели управления некой бот-сети, но следов атаки на "Ассист" там нет, отмечает предприниматель. Частичное совпадение IP-адресов, зараженных этой бот-сетью, с IP-адресами, с которых осуществлялась атака, не является доказательством. Один и тот же компьютер может быть заражен несколькими вирусами. Некоторое время хакеры даже проводят соревнования, удаляя с зараженных компьютеров вирусы конкурентов".

О том, с каким проблемами в дальнейшем столкнулось следствие, какие показания дали Артимовичи, Врублевский и другие участники дела, читайте в следующих материалах.
←Смартфон на Windows Phone попросил у пользователя установочный диск

Лента Новостей ТОП-Новости Беларуси
Яндекс.Метрика