Поделиться
ФСБ раскрыла тайны следствия по Ddos-атаке «Аэрофлота»
Главный обвиняемый в деле о Ddos-атаке «Аэрофлота» - владелец платежной системы Chronopay Павел Врублевский – был хорошо знаком с одним из руководителей Центра информационной безопасности ФСБ. Спецслужбам Врублевский был интересен своими связями с «хакерами», а «сдали» предпринимателя источники в его же окружении.Тушинский районный суд Москвы, рассматривающий уголовное дело о Ddos-атаке против «Аэрофлота», заслушал важного свидетеля со стороны обвинения: руководителя второго отдела оперативного управления Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова. Именно этот отдел и раскрыл данное преступление.
Отвечая на вопрос главного обвиняемого – владельца платежной системы Chronopay Павла Врублевского – Михайлов подтвердил, что они знакомы друг с другом примерно с 2007 г. При этом отношения между ними носили как профессиональный, так и личный характер.
«Компания Chronopay представляла для нас интерес, а Врублевский – умный и уважаемый мною человек, который смог сплотить вокруг себя «хакеров» (под ними мы понимаем как хороших, так и плохих людей)», - пояснил Михайлов. Отвечая на вопрос судьи Натальи Луниной, Михайлов отметил, что «по-человечески ему жалко, что Врублевский такое допустил», но в то же время заверил, что дело расследовалось им беспристрастно.
В своих первых показаниях, данных сразу после ареста летом 2011 г., Врублевский говорил о своей невиновности, а произошедшее назвал «оговором со стороны Сергея Михайлова». В ходе судебных слушаний он пояснил, что у него был «личностный конфликт с Михайловым», который, как ему поначалу казалось, и послужил причиной ареста. Но потом эти подозрения не подтвердились, заверил Врублевский. А после настойчивых вопросов судьи Луниной о причинах конфликта обвиняемый вообще забрал обратно свои слова об этом.
Напомним, сама атака была произведена в июне 2010 г. против платежной системы «Ассист» (конкурент Chronopay), в результате чего в течение недели невозможно было оплатить электронные билеты на сайте его основного клиента – «Аэрофлота». По данным ФСБ, заказчиком атаки был Врублевский, исполнителем – братья Игорь и Дмитрий Артимовичи, а роль посредника между ними выполнял сотрудник службы безопасности Chronopay Максим Пермяков.
ФСБ занялось этим делом в связи с тем, что пострадавшим оказалась госкомпания – «Аэрофлот». Михайлов рассказал вкратце о том, как происходило расследование этого преступления. Сначала никаких подозрений в отношении Врублевского и других обвиняемых не было, но Врублевский проходил по другим оперативным делам. В то же время оперативные источники из окружения предпринимателя рассказали ФСБ о номерах кошельков Webmoney, между которыми, предположительно, могли передаваться деньги за оплату атаки.
Кошелек отправителя был анонимный, но ранее он проходил в других делах как кошелек Chronopay, в частности, с него осуществлялась оплата некоему Engel за продажу в интернете фармацевтических препараторов, вспоминает Михайлов. Владельца кошелька-получателя удалось установить: это был петербургский программист Игорь Артимович. Во время атаки на «Аэрофлот» он получал порядка $500-1000 в день.
Через оперативные возможности в системе Webmoney удалось установить IP-адрес, с которого осуществлялись заходы в данный кошелек. Этот адрес числился за интернет-провайдером «Национальные кабельные сети» (НКС), куда ФСБ и направило запрос относительно данных пользователя адреса. Затем, получив санкцию Мосгорсуда (на тот момент братья Артимовичи снимали квартиру в столице), начался мониторинг интернет-канала подозреваемых. Это позволило выявить обращения к адресу американского сервера, на котором была обнаружена панель управления ПО Topol-Mailer.
Анализ трафика с помощью утилит Ufasoft Sniffer и WireShark позволил перехватить логин и пароль к данной панели, после чего оперативники зашли туда и заподозрили, что Topol-Mailer является бот-сетью. В частности, в панели была статистика о зараженных компьютерах и их IP-адресах. Также оперативники скачали оттуда образец программы-загрузчика («crypted.exe»), устанавливаемой на компьютеры жертв. Между тем, доступ к панели управления Topol-Mailer осуществлялся по зашифрованному протоколу SSL, что должно исключить возможность расшифровки перехваченного трафика.
«На самом деле, использование сервисов с протоколом SLL, например, Gmail, не защищает от перехвата идентификационной информации, - пояснил CNews источник в ФСБ. – Например, пароль может в некоторых случаях передаваться в открытом виде или сохраниться в кэше. Аналогичным образом нами был получен пароль от страницы Facebook свидетельницы Анастасии Курочкиной, когда суд, в рамках данного дела, поставил нам задачу найти ее переписку с Врублевским».
Врублевский спросил Михайлова о нестыковке в материалах дела: Мосгорсуд дал санкцию на мониторинг интернет-канала Артимовича и осмотр его места жительства в начале августа 2010 г., тогда как ответ из НКС с указанием того, как зовут и где проживает пользователь указанного ФСБ IP-адреса, пришел лишь в конце сентября.
«У нас есть оперативно-техническое управление, которое может в ускоренном порядке, без санкции суда получить информацию от провайдера о каком-либо IP-адресе, - пояснил Михайлов. - После чего мы просим сохранить провайдера данную информацию и затем оформляем соответствующий запрос в официальном порядке».
Перехваченный ФСБ пароль доступа к Topol-Mailer вместе со скаченным оттуда файлом были записаны на компакт-диск и отправлены на экспертизу в Group-IB, где эксперт подтвердил предположения оперативников: Topol-Mailer – это бот-сеть, а «crypted.exe» является вредоносной программой. Адвокат Игоря Артимовича Павел Зайцев поинтересовался другой нестыковкой в материалах дела: диск из ФСБ был отправлен 8 сентября 2010 г., а исследование проводилось с 10 по 25 сентября.
В запросе ФСБ говорилось, что указанные действия осуществляются с санкции Мосгорсуда, при этом был указан номер соответствующего решения. Но, согласно материалам дела, это решение было вынесено лишь 30 сентября – то есть уже после проведения исследования. Михайлов затруднился дать точный ответ на этот вопрос, предположив, что все дело в банальной ошибке в документе.
Зато Михайлов фактически согласился с основным доводом защиты – то, что инкриминируемая обвиняемым статья 272 Уголовного кодекса (неправомерный доступ к информации) не соотносится с Ddos-атакой. «Конечно, Ddos-атака – это преступление, но, к сожалению, законодатели пока так и не учли наши предложения относительно введения отдельного наказания за данный вид деяний, - заявил Сергей Михайлов. - Что касается неправомерного доступа к информации, то при Ddos-атаке он происходит только к зараженным компьютерам, а не к атакуемым серверам».
Обычно организаторов Ddos-атак судят по статье 273 (создание и распространение вредоносных программ), однако в случае с атакой «Аэрофлота» обвинение по данной статье утратило срок давности. Впрочем, прокурор Сергей Федоров возразил, что, согласно Закону «Об информации, информационных технологиях и защите информации», сама возможность неправомерного доступа к информации является незаконной.
Слушания по делу о Ddos-атаке «Аэрофлота», проходящие уже год, подходят к концу. Приговор обвиняемым, как ожидается, будет вынесен уже на следующей неделе. Дмитрий Артимович выразил надежду, что судья Наталья Лунина в приговоре даст оценку «многочисленным нестыковкам относительно вещественных доказательств», обнаруженным в ходе судебного следствия, а также вызвавшим споры действиям следователя Сергея Дадинского. В ближайшие дни состоятся прения сторон, после чего прокурор должен будет заявить о требуемом наказании для обвиняемых.
Короткая ссылка
