Расследование: сколько стоила Ddos-атака на «Аэрофлот»

Интернет Безопасность E-commerce Госрегулирование
мобильная версия
, Текст: Игорь Королев
Ddos-атака против «Аэрофлота», в 2010 г. на неделю парализовавшая покупку электронных билетов на сайте авиакомпании, обошлась в $20 тыс. Большая часть этой суммы ушла на покупку «ботов», признались на допросах в ФСБ участники атаки. Впрочем, фигуранты дела, включая владельца системы Chronopay Павла Врублевского, стали отказываться от своих показаний.

CNews продолжает публикацию материалов уголовного дела о Ddos-атаке против платежной системы «Ассист», в результате которой в июне 2010 г. в течение недели нельзя было приобрести электронные билеты на сайте основного клиента системы – «Аэрофлота». Напомним, следствие ФСБ установило, что заказчиком атаки был владелец конкурирующей с «Ассистом» платежной системы Chronopay Павел Врублевский, которого недавно вновь взяли под стражу.

Вычислить предполагаемых заказчика и исполнителей ФСБ смогла благодаря «оперативным возможностям» в системе Webmoney. Обнаружилось, что в дни атаки с электронного кошелька, предположительно принадлежавшего Chronopay, по несколько тысяч долларов переводилось на кошелек пользователя с ником «Engel». Выяснилось, что данный кошелек зарегистрирован на уроженца Ленинградской области Игоря Артимовича.

Журнал входов в Webmoney позволил определить IP-адрес пользователя, а с его помощью – и реальный адрес квартиры, которую Игорь Артимович вместе с братом Дмитрием снимали в тот момент в Москве. Интернет-канал подозреваемых был взят под «мониторинг», в результате чего был установлен факт захода на панель управления программного обеспечения Topol-Mailer, расположенную на сервере американского провайдера LayeredTech. Анализ трафика с помощью утилит Ufasoft Sniffer и WireShark позволил выявить логин и пароль от данного ресурса.

Зайдя таким образом в панель Topol-Mailer, оперативники установили, что это – бот-сеть, использующаяся для рассылки спама и организации Ddos-атак. В панели имелась информация об адресах атакуемых ресурсов и зараженных компьютерах («ботах»), а также файл с вредоносным программным обеспечением. Привлеченные ФСБ специалисты Group-IB подтвердили выводы следствия, а также установили тот факт, что IP-адреса трети компьютеров, атаковавших «Ассист», совпали с IP-адресами «ботов», используемыми Topol-Mailer.

Хакеры-фармацевты

Хотя упомянутые выше действия произошли в августе 2010 г., аресты подозреваемых начались только спустя почти год. Первым в июне 2011 г. в Санкт-Петербурге был арестован Игорь Артимович (к тому моменту они с братом уже покинули Москву). Вскоре подозреваемый дал признательные показания.

Игорь Артимович рассказал, что вместе с братом Дмитрием они с 2007 г. занимались продажей в зарубежном интернете фармацевтических средств, которые в обычных аптеках не отпускаются без рецептов. Для этого использовались спам-рассылки, которые осуществлялись с помощью программного обеспечения, взятого в аренду у некоего человека с ником «Google». В 2009 г. братья разработали уже собственное ПО для управления бот-сетью Topol-Mailer.

Тогда же на форуме Crutop, используемом веб-мастерами «серых» сервисов, они познакомились с Павлом Врублевским. Отметим, что Врублевского многие считают создателем этого форума, но он сам это отрицает. В разговоре с предпринимателем Артимовичи жаловались на его бывшего партнера Игоря Гусева, с которым в тот момент у Врублевского возник конфликт. Артимовичи рассказывали, что Гусев якобы «кидает» своих партнеров по сети Glavmed, занимавшейся распространением фармацевтики в интернете.

Из слов Игоря Артимовича следует, что у Врублевского в тот момент была собственная партнерская фармацевтическая сеть – Rx-Promotion. Артимовичи нашли недоставки в ПО этой сети и рассказали об этому Врублевскому. Предприниматель пригласил братьев приехать к нему в Москву.

Встреча состоялась в начале 2010 г. Владелец Chronopay предложил братьям переговорить с гендиректором компании «Технические решения» Юрием Кабаенковым (в интернете использует ник «Хелман»), который, со слов Артимовича, был представлен им как партнер по Rx-Promotion. В ходе допроса Кабаенков подтвердил следователям, что в 2008 г. организовал вместе с Врублевским компанию Rx-Promotion, занимавшуюся распространением фармацевтики посредством почтовых рассылок и продвижения своих витрин в поисковых системах.

По его словам, он получал от Врублевского от 5 до 7% за каждый проданный товар, в месяц его доход составлял $10-15 тыс. Впрочем, и Кабаенков, и Артимович признали в своих показаниях, что встреча между ними в офисе Chronopay была неудачной. Кабаенков решил, что ПО Rx-Promotion достаточно совершенно и в услугах Артимовичей он не нуждается. Врублевский заявил CNews, что знаком с Кабаенковым, однако к Rx-Promotion он не имеет отношения. Была ли указанная встреча с Артимовичами, он не помнит.

Из показаний Артимовича следует, что Врублевский не участвовал в переговорах между ними и Кабаенковым. Однако по возвращению в Санкт-Петербург они связались с владельцем Chronopay посредством ICQ и все-таки смогли заинтересовать своими предложениями по доработке Rx-Promotion. Чтобы продемонстрировать свои возможности, Артимовичи организовали Ddos-атаку на сайт партнерской программы.

Для осуществления атаки Артимовичам потребовались «боты», которых они приобретали на форуме Spamdot.biz. Отметим, что частью ПО Topol-Mailer был загрузчик «crypted.exe»: его как раз и пересылали продавцы «ботов» для установки на зараженные компьютеры и последующего их включения в бот-сеть. Атака оказалась успешной, причем, как рассказывал Артимович, закупив 1 тыс. ботов, для осуществления цели им потребовалось лишь около 100.

Выходец из ФСБ

Атака, со слов Артимовича, произвела на Врублевского впечатление, после чего предприниматель решил заказать братьям доработку используемого в Rx-Promotion ПО. Также владелец Chronopay передал им контакты человека с ником «Scraft», представив его как координатора данного проекта. Позднее выяснилось, что «Scraft» - это сотрудник службы безопасности Chronopay Максим Пермяков.

Павел Врублевский заплатил за атаку на
Павел Врублевский заплатил за атаку на "Ассист" около $20 тыс

На работу в Chronopay Пермяков перешел незадолго до указанных событий — в конце 2009 г. До этого он много лет проработал в Центре информационной безопасности (ЦИБ) ФСБ. С Врублевским он пересекся на вечеринке веб-мастеров вышеупомянутого форума Crutop, причем познакомил их другой тогдашний сотрудник ЦИБ — Александр А.

После ареста Игоря Артимовича тогдашний руководитель службы безопасности Chronopay Владимир Степков позвонил Врублевскому, находившемуся в отпуске на Мальдивах. Степков, как следует из его показаний, предупредил предпринимателя, что возвращаться в Россию ему не стоит, иначе не избежать ареста. В кабинете в тот момент присутствовал Максим Пермяков. По воспоминаниям Степкова, Пермяков признался ему, что был посредником между Врублевским и Артимовичами, после чего взял отпуск и отбыл в неизвестном направлении.

Друг Юрия Кабанекова — Юрий Шевченко (в своих показаниях охарактеризовал себя как «программист эротических сайтов») - пытался помочь Пермякову. Он нашел ему квартиру в Подмосковье, которую можно было снять без оформления. Впрочем, Пермяков все равно был задержан и во всем признался.

Врублевский же, не послушав советов, вернулся в Москву и был арестован прямо в аэропорту. На первом допросе, состоявшемся в ночь с 22 на 23 июня, он заявил, что не имеет отношения к атаке на «Аэрофлот», с Артимовичами знаком весьма поверхностно, а произошедшее считает «оговором» со стороны одного из руководителей ЦИБ. Впрочем, уже 1 июля предприниматель дал признательные показания.

Из всех фигурантов дела на свободе оставался только Дмитрий Артимович, отдыхавший на тот момент в Таиланде. После произошедших арестов он решил добровольно вернуться в Россию, где также же был задержан и подписал признание.

Почем нынче «боты»?

Описание Ddos-атаки в показаниях всех четырех фигурантов в общих чертах сходится. Врублевский дал поручение Пермякову через Артимовичей устроить данную атаку. Тогдашний финансовый директор Chronopay Максим Андреев вспомнил на допросе, что Врублевский вызвал его в свой кабинет и поручил перевести через Webmoney денежные средства Пермякову с целью «наказать некоторых людей».

15 июля Пермяков связался по ICQ с Артимовичами и передал им задачу. Братья согласились, предупредив, что им потребуются денежные средства. Поскольку с переводом первого транша в размере $2 тыс. возникла задержка, Пермяков сказал братьям использовать средства, ранее переведенные им в рамках фармацевтического проекта.

Атака началась, сервера «Ассиста» перестали нормально функционировать. Пермяков получил от братьев логин и пароль от панели управления Topol-Mailer и периодически заходил на нее с мобильного телефона, проверяя ход атаки. Врублевский, согласно его показаниям, также контролировал ход атака, заходя с телефона на сайт «Аэрофлота» и пытаясь купить авиабилет.

Уже через несколько дней Артимовичи сообщили, что сталкиваются «с сопротивлением»: «Ассист» пытался защититься с помощью «Лаборатории Касперского». Пермяков им передал слова Врублевского о том, что атака должна продолжаться минимум неделю. В связи с этим был изменен тип атаки.

Как объяснял в показаниях Игорь Артимович, сначала использовался тип «http-flood», когда атакуемый ресурс перегружается «массовыми и нелогичными запросами». Затем тип был изменен на «udp-flood»: канал связи, используемый атакуемым ресурсом, стал «забиваться» бессмысленными пакетами данных.

Согласно показаниям Дмитрия Артимовича, сначала братья использовали для атаки собственных «ботов», но затем стали покупать их на стороне. Для этого они заходили в Google и вводили соответствующие запросы, стоимость ботов составляла от $7 до $35 за 1 тыс. штук в зависимости от их страны. Первоначально в разговоре с Пермяковым братья оценивали свои затраты на покупку ботов в $500/день, затем это сумма возросла до $1 тыс/день. В день Артимовичи покупали примерно по 30 тыс. ботов (по данным Group-IB, сеть Topol-Mailer в дни атаки объединяла до 250 тыс. «ботов»).

За время атаки Пермяков перевел Артимовичам через Webmoney в общей сложности $20,6 тыс. Через неделю после начала атаки Артимовичи сообщили Пермякому, что «Ассист» теперь использует несколько различных платежных шлюзов. Пермяков говорит в показаниях, что, посоветовавшись с Врублевским, он передал им указание атаковать тот шлюз, через который идут платежи в адрес «Аэрофлота». Атака на некоторое время продолжилась.

24 июля Артмиовичи предложили Пермякову прекратить атаку: они констатировали, что мощность атаки снижается, для ее продолжения требуется покупка новых «ботов», при том цель атаки и так достигнута. «Ну если не могут, так не могут», - цитирует Пермяков ответ Врублевского. Сам Врублевский в своих показаниях пояснил решение остановить атаку большим общественным резонансом вокруг нее и боязнью негативных последствий.

Зачем все это Врублевскому?

Врублевский в своих показаниях объяснил причины атаки «Ассиста» желанием отомстить конкурентам за то, что они переманивали сотрудников Chronopay и распускали слухи о торговле его компании порнографией. Бывший сотрудник ЦИБ Александр А., хорошо знавший Врублевского, говорит также, что предприниматель очень хотел получить контракт с «Аэрофлотом» и даже был готов дать взятку за это в размере $1 млн (Врублевский заявил CNews, что намерений давать взятки у него не было).

«Аэрофлот» будет наш», - цитирует Врублевского в своих показаниях Юрий Кабаенков. В дни атаки против «Аэрофлота» Кабаенков пытался купить электронный билет в кино. Покупка не удалась, так как соответствующий сайт обслуживался «Ассистом». Узнав затем из новостей об атаке против «Ассиста», Кабаенков сразу понял, что ее заказал Врублевский.

Максим Пермяков и братья Артимовичи были выпущены под подписку о невыезде летом 2011 г. В конце того же года аналогичная мера пресечения была избрана и в отношении Павла Врублевского.

Несмотря на наличие признательных показаний, процесс в Тушинском районом суде Москвы по данному делу затянулся. Защита поставила законность ряда следственных действий, оспорив, в частности, подлинность подписей понятых под протоколами осмотра вещественных доказательств в следственном отделе ФСБ.

Также в ходе процесса выяснилось, что мотив Врублевского заказывать данную атаку не столь очевиден. Тендер по выбору единого платежного решения «Аэрофлота» состоялся еще до атаки. Chronopay в нем участвовал и проиграл, а «Ассист» и «ВТБ-24» - даже не принимали участия («Ассист» был субподрядчиком «ВТБ-24» по контракту с «Аэрофлотом»). После же атаки «Аэрофлот» досрочно разорвал контракт с «ВТБ-24» и перешел на обслуживание в «Альфа-банк».

В начале 2012 г., еще на этапе следствия, Игорь Артимович отказался от своих показаний. Он заявил следователю Сергею Дадинскому, что подписывал признание в надежде, что тот его отпустит. Дмитрий Артимович и Павел Врублевский также говорили CNews, что собираются отказаться от показаний. А вот Максим Пермяков подтвердил суду свои показания.

Таким образом, получается, что из четырех фигурантов дела признательные показания остаются только у бывшего сотрудника ФСБ. Впрочем, две недели назад суд изменил меру пресечения Врублевскому и взял его под стражу из-за угроз свидетелю. Адвокаты предпринимателя считают, что таким образом Врублевского наказали из-за активной защиты. Выступление самого Врублевского должно состояться 18 июня.