КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ

Просмотров

Free Web Counter

ЭЛЕКТРОННАЯ БЕЗОПАСНОСТЬ В ДЕЙСТВИИ: КАК ФСБ ЛОВИТ ХАКЕРОВ

Как ФСБ ловит хакеровУ ФСБ имеются «оперативные возможности» в платежной системе Webmoney, благодаря которым следствие раскрыло DDOS-атаку против «Аэрофлота». Узнав, на какие WM-кошельки переводились деньги за атаку, следствие выявило их владельцев, определило IP-адреса, проанализировало трафик и, таким образом, вышло на панель управления бот-сети.

 

CNews продолжает публикацию материалов уголовного дела владельца платежной системы Chronopay Павла Врублевского, которого ФСБ обвиняет в заказе DDOS-атаки на сервер конкурирующей системы - «Ассист» - с целью заблокировать возможность покупки электронных билетов на сайте «Аэрофлота». Секретность с материалов дела была снята постановлением заместителя руководителя оперативного управления 18 центра ФСБ А. Лютиковым. DDOS-атака проходила в период с 15 по 24 июля 2010 г, после чего «Ассист» обратился с заявлением в управление ФСБ по Санкт-Петербургу и Ленинградской области.

В поле зрения оперативников сразу попал кошелек в платежной системе Webmoney (WM), используемый человеком под псевдонимом Engel, следуют из материалов дела. Также в распоряжении следствия оказалась электронная переписка сотрудников Chronopay (финансистов Максима Андреева и Натальи Клюевой со специалистами по безопасности Максимом Пермяковым и Станиславом Мальцевым), согласно которой в дни атаки ежедневно на указанный кошелек должно было переводиться по $500 с целью «PR и конкурентной борьбы». Чуть ранее на этот же кошелек из Chronopay было переведено еще $10 тыс. за создание «фармацевтического проекта».

Ниточка в Webmoney

 

В ФСБ заподозрили, что атаку осуществлял Engel по заказу Врублевского. С помощью «оперативных возможностей» в системе Webmoney было установлено, что упомянутый выше кошелек относится к WM-идентификатору, зарегистрированному на уроженца Ленинградской области Игоря Артимовича. Следствие получило доступ к журналу входов в систему за последние несколько месяцев, узнав таким образом IP-адрес Артимовича и контрольную сумму его оборудования (Engel использовал в программе WM Keeper метод авторизации путем проверки оборудования, с которого осуществляется вход).

С помощью контрольной суммы ФСБ обнаружило и остальные WM-идентификаторы, зарегистрированные на Артимовича (через год соответствующие документы были официально изъяты в ходе обысков в офисе Webmoney). Журнал транзакций подтвердил получение Артимовичем в дни атаки на «Ассист» денежных средств на общую сумму $20 тыс. Согласно перехваченной переписке сотрудников Chronopay. кошелек, с которого приходили деньги, принадлежал этой компании.

 

Сделав запрос провайдеру, которому принадлежал упомянутый выше IP-адрес — «Национальные кабельные сети» (бренд Onlime) - ФСБ установило, что адрес зарегистрирован на брата Игоря Артимовича Дмитрия (через год копия договора была изъята в ходе обысков у провайдера). На тот момент они вместе снимали квартиру в Москве. После этого следствие приняло решение провести оперативно-розыскные мероприятия (ОРМ) «КТКМ» в отношение дела оперативной разработки (ДОР) «Летчик».

Мосгорсуд выдал санкцию на снятие информации с используемых братьями Артимовичами интернет-каналов (от Onlime и «Скай Линк»), прослушивание их стационарного и мобильных телефонов (от «Вымпелкома», МТС и «Мегафона»), а также чтение электронной почты в домене artimovich.info. У Артимовичей было еще несколько ящиков на Mail.ru, но их заблокировала администрация. Кроме того, управление ФСБ по Санкт-Петербургу получило доступ к журналам посещения страницы Игоря Артимовича в сети «Вконтакте».

Отметим, что к концу лета Артимовичи выпали из поля зрения ФСБ, но на помощь следствию вновь пришла Webmoney. «Оперативные возможности» в этой системе позволили обнаружить их новые кошельки, а вместе с этим новые адреса электронной почты и номера мобильных телефонов, которые они пополняли (сами телефоны были зарегистрированы на подставных лиц). Выявлены были и новые IP-адреса: на этот раз Артимовичи заходили на Webmoney через мобильные сети «Скай Линк» и «Скартел» (бренд Yota). Впрочем, вскоре братья вновь исчезли. Управление «Т» ФСБ, взяв на контроль приобретение ими железнодорожных и авиабилетов, сообщило об отъезде Артимовичей в Киев. Весной 2011 г. это же управление обнаружило их возвращение в Санкт-Петербург.

«За нами следит ФСБ. Уходим в Jabber»

Имея возможность отслеживания интернет-трафика, ФСБ смогло прочитать ICQ-переписку Артимовичей с неустановленными собеседниками. Один из них прислал ссылку на статью в Gazeta.ru о начале Единой баскетбольной лиги ВТБ. Собеседник указал на фото с соответствующей пресс-конференции: «Второй слева — я. О***нный баскетболист, правда?».

Вторым слева на фотографии был Павел Врублевский. Рядом с ним сидел тогдашний вице-премьер и нынешний глава администрации президента Сергей Иванов. Далее неизвестный собеседник послал ссылку на пресс-релиз Chronopay со словами «наш релиз на тему». На вопрос Артимовича, является ли такого рода спонсорство рекламой Chronopay, собеседник дал следующий ответ: «Официально — да. Неофициально — посмотри биографию Сергея Борисовича Иванова и ответы начнут прорисовываться».

Также собеседники обсуждали продажу наркотических средств («контролов»), регистрацию нескольких десятков соответствующих доменов в зоне .Ru, оформление серверов на некоего Андрея Богданова и работу на форуме Spamdot (используется спамерами, торгующими за рубежом фармацевтикой). Анализ контакт-листа Артимовичей в ICQ показал, что они часто общаются с людьми, находящимися в поле зрения правоохранительных органов из-за распространения вредоносных программ. Но главное, на что обратило внимание следствие, это обнаружение подозреваемыми слежки. Собеседники обсуждали необходимость шифрования почты и жестких дисков, а также переход на новую версию ICQ с целью установки модуля шифрования Simp.

Собеседники заподозрили, что ФСБ пыталось устроить подставную встречу с неким Хохолковым — подельником известного распространителя спама и вирусов Леонида Куваева, осужденного в настоящий момент на длительный тюремный срок за педофилию. Обсуждался также вопрос с переездом Артимовичей и съем квартиры на чужой паспорт. На вопрос одного из братьев «А что ты очкуешь взять нам квартиру» неизвестный собеседник дает откровенный ответ: «Я что по-твоему совсем с головой не дружу? На вас ФСБ охотится!». Далее разговор предлагается перевести в систему Jabber.

Впрочем, личность собеседника следствие так и не установило. Сам Врублевский заявил CNews, что он не вел указанных переговоров. ОРМ в отношение Врублевского вообще результатов не дали: как отмечается в материалах дела, по телефону он общался только на бытовые темы.

Как ФСБ ищет пароли

Еще одним шагом следствия стал анализ интернет-трафика Артимовичей, для этого использовались программы Ufasoft Sniffer и WireShark (анализируют трафик в формате TCPDump). Таким образом были обнаружены факты установления защищенного соединения с двумя IP-адресами, принадлежащими американскому хостинг-провайдеру LayeredTech. На указанных адресах находилось приглашение для входа в панель управления программного обеспечения Topol-Mailer. Путем контекстного поиска в журналах трафика по слову «password» были найдены строки с логином и паролем, которые успешно подошли для входа в обе панели.

По мнению следствия, это были бот-сети с функциями прокси-серверов, позволяющие осуществлять крупномасштабные спам-рассылки и DDOS-атаки нескольких видов (UDP-Flood, TCP-Flood и HTTP-Get). На момент захода следователей в августе 2010 г. обе бот-сети вместе насчитывали 20 тыс. зараженных компьютеров. Панель управления позволяла просмотреть статистику заражений с географическим распределением и информацию о «поставщиках» зараженных компьютеров, загружать образцы используемой вредоносной программы для конкретных поставщиков и ввести адреса для осуществления DDOS-атаки.

В числе адресов «жертв» бот-сети, согласно данным соответствующего раздела, были следующие фармацевтические ресурсы: 4allforum.com, accessbestpharmacy.com, canadian-rxonline.com, naturalviagraonline.com, glavmed.com, spamit.com, stimul-cash.com, yout-pills-online.com, ehost.by, spampeople.net, spamdot.us. Сами Артимовичи регулярно осуществляли спам-рассылки с рекламой фармацевтических препаратов с адресов в системе «Рамблер». Это навело следствие на мысль, что они атаковали своих конкурентов. Часть из атакованных ресурсов, как считается, принадлежит бывшему акционеру Chronopay Игорю Гусеву (известен своим конфликтом с Врублевским).

Полученные материалы были переданы эксперту компании Group-IB Дмитрию Волкову для проведения экспертизы. Волков осуществил выход на исследуемый ресурс через сервис виртуальных частных сетей CryptoCloud с иностранных IP-адресов. Проведя анализ ресурсов, он подтвердил выводы следствия о том, что речь идет о панели управления бот-сетью. Также специалист обратил внимание, что в дни атаки на «Ассист» число зараженных компьютеров резко возросло (до 250 тыс.). Сравнив со списком 25 тыс. адресов, участвовавших в атаке на «Ассист», Волков обнаружил, что треть из этих адресов присутствует в списке заражений бот-сети Артимовичей.

Специалист Group-IB провел также и исследование вредоносной программы, загруженной из бот-сети. Антивирус Eset NOD32 определил эту программу как Win32/Rootkit.Agent.NRD trojan, «Антивирус Касперского» - как Rootkit.Win32.Tent.btt. С использованием программы-отладчика OllyDbg и дизассемблера IDA Pro 8.0 (позволяет получить код программы на языке низшего уровня) Волков установил, что данная программа без участия пользователя записывает в операционную систему драйвер для проведения DDOS-атак. Для получения команд драйвер периодически обращается к сетевым адресам, совпадающим с адресами бот-сети Артимовичей.

Впрочем, адреса «Ассист» в списке атакуемых адресов не было. Но каких-либо ограничений, не позволяющих осуществить DDOS-атаку на эту платежную систему с данной бот-сети, тоже нет. Поэтому Волков пришел к выводу, что она могла использоваться для расследуемой атаки. На основании результатов исследования Group-IB «оперативные источники из вирмейкерской среды» также подтвердили следствию этот вывод.

Также следствие зафиксировало обращения к другому американскому хостинг-провайдеру — DCSManage, где Артимовичи в зашифрованном виде (с помощью программы программной PGP Desktop) хранила Topol-Mailer, программу для осуществления спам-рассылок и базу данных почтовых адресов объемом 40 ГБ. Анализ остального интернет-трафика Артимовичей показал, что они осуществляли заход под аккаунтом администратора на форум спамеров Spamplanet.com, а также искали в «Яндексе» информацию по запросу «путин аэрофлот».

О том, с каким проблемами в дальнейшем столкнулось следствие, какие показания дали Артимовичи, Врублевский и другие участники дела читайте в следующих материалах CNews.

CNews продолжает публикацию материалов уголовного дела владельца платежной системы Chronopay Павла Врублевского, которого ФСБ обвиняет в заказе DDOS-атаки на сервер конкурента - «Ассист». В результате атаки в июле 2010 г. в течение недели не была доступна возможность покупки электронных билетов на сайте «Аэрофлота». Напомним, секретность с материалов дела была снята постановлением заместителя руководителя оперативного управления 18 центра ФСБ А. Лютиковым.

В начале расследования в распоряжении ФСБ оказалась переписка сотрудников Chronopay, в которой говорилось о необходимости переводить в дни атаки по $500 на электронной кошелек в системе Webmoney, зарегистрированный на некоего Engel. Через «оперативные возможности» в Webmoney удалось выяснить, что владельцем кошелька является петербургский программист Игорь Артимович, на тот момент проживавший вместе с братом Дмитрием на съемной квартире в Москве. С помощью журнала входа в аккаунт на Webmoney был выявлен их IP-адрес, а через провайдера — адрес проживания.

В отношении братьев Артимовичей и Врублевского начался комплекс оперативно-розыскных мероприятий (ОРМ), включавший в себя прослушивания телефонов и мониторинг интернет-трафика. Однако достаточно быстро подозреваемые обнаружили «слежку». Так, в ходе перехваченной ICQ-переписки одного из Артимовичей с лицом, похожим на Врублевского, неизвестный собеседник прямо предупреждал братьев об интересе к ним со стороны ФСБ. Сам Врублевский по открытым каналам связи общался только на бытовые темы.

«Учитывая многочисленные коррумпированные связи Врублевского в МВД...»

ФСБ получило сенсационные данные об ответных действиях владельца Chronopay. Согласно материалам дела Павел Врублевский намеревался провести "через коррумпированных сотрудников МВД России" нелегальные мероприятия в отношении действующих сотрудников ФСБ России и их источников, привлеченных к расследованию указанной компьютерной атаки. По данному факту незамедлительно проинформировано 9 Управление ФСБ России.

Напомним, что Group-IB по просьбе ФСБ провело экспертизу сайта, на который заходили с IP-адреса Артимовичей. Эксперты подтвердили выводы следствия, что это — панель управления бот-сети вируса Topol-Mailer, с помощью которого могла быть устроена DDOS-атака на «Ассист». Получила ли история с «нелегальным ОРМ» какое-либо продолжение и удалось ли вообще Врублевскому устроить слежку, в материалах дела не говорится.

Однако решение о проведении следственных действий в Следственном управление ФСБ было принято на следующем основании (цитата по материалам дела: «Факт наличия многочисленных коррумпированных связей Врублевского в следственных органах МВД России (среди сотрудников СК при МВД России и ГСУ при ГУВД России по г. Москве), благодаря которым он неоднократно инициировал приостановление производства уголовного дела, возбужденного в отношении его компании». О каком деле идет речь, не уточняется.

Сам Врублевский отвергает обвинения в наличие у него подобного рода связей в правоохранительных органах. Он также добавил, что ранее в отношении него никаких уголовных дел не возбуждалось. Предприниматель лишь проходил в качестве свидетеля по делу о нелегальной банковской деятельности, возбужденному в отношении закрывшегося в 2007 г. анонимного интернет-банка Fiethard Finance.

Кто «слил» Врублевского в ФСБ

Книга - Своя разведкаЕще один «сюрприз» ждал следствие 22 июня 2011 г., когда после задержания Павла Врублевского в его кабинете в Большом Палашевском переулке был проведен обыск. Среди прочего на рабочем столе секретаря владельца Chronopay Елены Фимановой был найден лист со следующей рукописной записью: «Слили нас в ФСБ ЦИБ...».

Впоследствии Фиманова пояснила на допросе, что нашла эту бумагу в кабинете шефа и убрала ее в ожидании дальнейших указаний. Были найдены и два других любопытных документа, озаглавленные как «Структура ФСБ Центральный аппарат» и «О связях сотрудника ЦИБ ФСБ С. Михайлова». Также были найдены тексты писем Владимиру Путину и генпрокурору Юрию Чайке, материалы по ряду авиакомпаний, включая «Аэрофлот», и англоязычный документ по уголовному делу экс-совладельца Chronopay Игоря Гусева (известен своим конфликтом с Врублевским).

Врублевский наличие у него записок и документов о ФСБ отрицает. «Я попросил следствие вернуть мне эти бумаги, - сообщил CNews предприниматель. - По закону документы, изъятые в ходе обыска, должны быть либо возвращены, либо продемонстрированы суду. Но ни того, ни другого сделано не было».

Тем не менее, с руководством ЦИБ главный обвиняемый по делу «Аэрофлота» все-таки был знаком. Это знакомство состоялось в 2007 г. в офисе Chronopay, который тогда находился в районе м. Киевская. Встречу представителя ЦИБ и Врублевского организовал оперативник 2 управления ЦИБ ФСБ.

Согласно его показаниям, на встрече Врублевский признался, что он управляет вышеупомянутым интернет-банком Fiethard Finance. При этом предприниматель якобы просил сотрудников ФСБ помочь разобраться с хищением в этом банке $5 млн.

Врублевский отрицает свою связь с Fiethard Finance. Но факт встречи с представителем ЦИБ и обращения к центру за помощью он подтверждает. «У нас из сейфа были украдены Digipass (электронные ключи) для доступа к счетам в офшорах, - пояснил предприниматель CNews. - Без них мы длительное время не могли заблокировать счета, и злоумышленники воспользовались этим, украв у нас крупную сумму денег».

По словам источника CNews в ФСБ, встречи с Врублевским прекратились после того, как в спецслужбу стала поступать регулярная информация о том, что Врублевский информирует преступников об их попадании в поле зрения ФСБ.

Чекисты на вечеринке веб-мастеров

Впрочем, общение Врублевского с оперативниками ЦИБ ФСБ продолжилось. Так, летом 2009 г. один из бывших сотрудников ФСБ «с разрешения Михайлова» посетил вечеринку веб-мастеров. На ней он неожиданно встретил своего коллегу Максима Пермякова. На удивленный вопрос «Что ты тут делаешь?» Пермяков ответил «Меня пригласил друг». В этот момент к ним подошел Врублевский, и, узнав, что Пермяков тоже работает в ФСБ, очень заинтересовался им.

Пермяков в своих показаниях рассказал, что тем летом он зарегистрировался на форуме Crutop, где общаются веб-мастера сайтов с порнографией, продажей фармацевтики, распространители спама и т.д. Затем его пригласили на вечеринку, проводимую этим форумом в ресторане «Пространство воздуха» в районе м. Лужники. Вход на мероприятие осуществлялся по нику на Crutop.

Там он увидел Врублевского, который якобы использовал на форуме ник Redeye. Пермяков заверил Врублевского, что он здесь не по работе, а исключительно ради отдыха. Через несколько месяцев владелец Chronopay позвонил Пермякову и предложил встретиться. Далее Пермяков принял предложение Врублевского перейти к нему на работу в отдел информационной безопасности. Согласно служебной характеристике Пермякова из ФСБ, в последний год службы он высказывал недовольство тем, что в коммерческих структурах люди получают в 5-7 раз больше, чем на госслужбе.

Врублевский подтверждает факт участия в той вечеринке веб-мастеров, однако отрицает свою связь с Crutop и ником Redeye. Согласно материалам дела, летом 2011 г. Врублевский связался с ним по Skype, сообщил об аресте «близкого друга» Игоря Артимовича, выразил уверенность, что за этим стоит Сергей Михайлов, и попросил выяснить подробности. Вскоре были арестованы Дмитрий Артимович, Максим Пермяков (по версии следствия он был посредником между владельцем Chronopay и братьями Артимовичами) и сам Врублевский.

Источник: Cnews

 - http://www.cnews.ru/top/2013/01/14/rassledovanie_kak_fsb_lovit_hakerov_515346

Опубликовано: 12.04.2013