Вирус, атаковавший «Аэрофлот», пришел из будущего
В ходе судебных слушаний по делу о Ddos-атаке против «Аэрофлота» выяснилась сенсационная подробность. Файл с вирусом, лежащим в основе обвинения, был создан через два месяца после самой атаки. Причем время создания файла совпадает со временем проведения экспертизы над ним в компании Group-IB.В ходе слушаний в Тушинском районном суде Москвы по делу о Ddos-атаке против «Аэрофлота» был осуществлен осмотр «цифровых» доказательств по данному делу. Осмотр проводился одновременно двумя экспертами: Александром Андриишиным из компании ИВК (был приглашен стороной защиты) и Григорием Ануфриевым из «Лаборатории Касперского» (ЛК). Последний ранее по запросу следователя уже выступал в качестве независимого эксперта по данному делу.
Напомним, 15-24 июля 2010 г. были атакованы сервера платежной системы «Ассист», в результате чего невозможно было купить электронные билеты на сайте ее крупнейшего клиента – «Аэрофлота». Через год ФСБ раскрыла данное преступление, арестовав всех предполагаемых фигурантов: заказчика атаки, владельца системы Chronopay (конкурент «Ассиста») Павла Врублевского, исполнителей атаки - братьев Дмитрия и Игоря Артимовичей, а также сотрудника службы безопасности Chronopay Максима Пермякова.
Слежку за Артимовичами ФСБ установила еще в августе 2010 г. Благодаря мониторингу используемого ими интернет-канала удалось установить факт захода на размещенную на удаленном сервере панель управления Topol-Mailer. Перехватив пароль от нее, оперативники пришли к выводу, что речь идет о панели управления бот-сетью, использующейся для рассылки спама и Ddos-атак. Там же был найден файл «crypted.exe», загружаемый на компьютеры жертв.
Оперативники записали на компакт-диск файл «crypted.ex» (переименование осуществили во избежание конфликта с антивирусным ПО), а также excel-файл со списком IP-адресов «ботов», атаковавших «Ассист». Этот диск вместе с паролем от Topol-Mailer из ФСБ был передан на экспертизу в Group-IB. Специалисты компании выяснили, что вышеупомянутый файл является вредоносной программой Rootkit.Win32.Tent.btt (по классификации «Антивируса Касперского»), а треть «ботов», атаковавших «Ассист», совпадает с адресами «ботов» данной сети.
В Москве продолжается суд над Павлом Врублевским
Через год начались аресты подозреваемых, а 9 июня 2011 г. в квартире Артимовичей в Ленинградской области был произведен обыск, в ходе которого изъяли два ноутбука Lenovo. Эти ноутбуки запаковали и отправили в Москву, где 27 июня они, в присутствии понятых, были вскрыты в Следственном управлении ФСБ. На ноутбуках, в частности, были найдены исходные коды, из которых, как затем установил Ануфриев из ЛК, и был собран файл «crypted.exe».
Несмотря на наличие признательных показаний, в ходе судебного процесса обвиняемые начали активно защищаться. В том числе защита настояла на проведении в суде экспертизы ноутбуков и вышеупомянутого компакт-диска. Анализ же содержимого компакт-диска привел к неожиданным результатам.
Оба эксперта установили тот факт, что программа PE Tools показывает датой компиляции из исходных кодов файла "crypted.ex" 15 сентября 2010 г., а датой записи на диск - 22 сентября. Между тем, согласно материалам дела, данный диск из ФСБ в Group-IB был направлен еще 8 сентября, а с 10 по 25 сентября он находился на исследовании в этой компании. Правда, Ануфриев сделал оговорку, что программа PE Tools сама позволяет изменять время создания файла.
Адвокат Игоря Артимовича Павел Зайцев сделал из полученных данных вывод, что файл «crypted.ex» «был умышленно собран неизвестным лицом в Group-IB с целью фальсификации доказательств по данному уголовному делу». При этом данный вирус никак не мог применяться в атаке на «Ассист», состоявшейся за два месяца до этого, добавил адвокат. Ранее защита уже обращала внимание суда и на другое странное обстоятельство с этим диском.
Оперативно-розыскные мероприятия в отношении братьев Артимовичей, в частности, перехват трафика их интернет-канала, начались после получения 3 августа 2010 г. соответствующей санкции Московского городского суда. Однако санкция этого же суда на получение информации с американских серверов, на которых была расположена панель управления бот-сети Topol-Mailer, была дана только 30 сентября.
Между тем, в упомянутом ранее запросе ФСБ в Group-IB на исследование панели управления Topol-Mailer от 8 сентября указывается, что санкция суда уже имеется. В документе даже приводится номер соответствующего решения, который совпадает с номером решения от 30 сентября. «8 сентября нельзя было знать и иметь на руках решение Мосгорсуда от 30 сентября, и тем более указывать его в документе, - отмечает в своем ходатайстве Зайцев. - Таким образом, данный документ сфальсифицирован, а именно подписан задним число с целью придания видимости законности проводимым сотрудниками ФСБ незаконным мероприятиям».
Проведенный в ходе судебного заседания осмотр ноутбуков Артимовичей также выявил неожиданные результаты. Оказалось, что оба они содержат в совокупности на 3,2 Гб больше данных, чем было зафиксировано в протоколах об их осмотре. Журнал работы компьютеров показал, что они оба включались 10 июня 2011 г. — то есть в период между их изъятием и вскрытием в присутствии понятых. Из этого защита сделала вывод, что на ноутбуки кем-то была записана дополнительная информация и программы.
В связи с этим Павел Зайцев подал ходатайство об исключении ноутбуков из числа доказательств обвинением, а компакт-диск переквалифицировать как доказательство со стороны защиты (то есть доказательство того, что обвиняемые не проводили атаку на «Ассист»). Кроме того, адвокат попросил судью направить в Следственный комитет сообщение о преступлении — фальсификации доказательств по уголовному делу — с целью проверки. Судья Наталья Лунина ходатайство о переквалификации доказательств отклонила, предложив рассмотреть это на стадии судебных прений. Заявление о преступлении пока осталось без ответа. В Group-IB и «Лаборатории Касперского» от комментариев отказались.