ФСБ раскрыла тайны следствия по Ddos-атаке "Аэрофлота"
Главный обвиняемый в деле о Ddos-атаке "Аэрофлота" - владелец платежной системы Chronopay Павел Врублевский – был хорошо знаком с одним из руководителей Центра информационной безопасности ФСБ. Спецслужбам Врублевский был интересен своими связями с "хакерами", а "сдали" предпринимателя источники в его же окружении.
Тушинский районный суд Москвы, рассматривающий уголовное дело о Ddos-атаке против "Аэрофлота", заслушал важного свидетеля со стороны обвинения: руководителя второго отдела оперативного управления Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова. Именно этот отдел и раскрыл данное преступление.
Отвечая на вопрос главного обвиняемого – владельца платежной системы Chronopay Павла Врублевского – Михайлов подтвердил, что они знакомы друг с другом примерно с 2007 г. При этом отношения между ними носили как профессиональный, так и личный характер.
"Компания Chronopay представляла для нас интерес, а Врублевский – умный и уважаемый мною человек, который смог сплотить вокруг себя "хакеров" (под ними мы понимаем как хороших, так и плохих людей)", - пояснил Михайлов. Отвечая на вопрос судьи Натальи Луниной, Михайлов отметил, что "по-человечески ему жалко, что Врублевский такое допустил", но в то же время заверил, что дело расследовалось им беспристрастно.
В своих первых показаниях, данных сразу после ареста летом 2011 г., Врублевский говорил о своей невиновности, а произошедшее назвал "оговором со стороны Сергея Михайлова". В ходе судебных слушаний он пояснил, что у него был "личностный конфликт с Михайловым", который, как ему поначалу казалось, и послужил причиной ареста. Но потом эти подозрения не подтвердились, заверил Врублевский. А после настойчивых вопросов судьи Луниной о причинах конфликта обвиняемый вообще забрал обратно свои слова об этом.
Напомним, сама атака была произведена в июне 2010 г. против платежной системы "Ассист" (конкурент Chronopay), в результате чего в течение недели невозможно было оплатить электронные билеты на сайте его основного клиента – "Аэрофлота". По данным ФСБ, заказчиком атаки был Врублевский, исполнителем – братья Игорь и Дмитрий Артимовичи, а роль посредника между ними выполнял сотрудник службы безопасности Chronopay Максим Пермяков.
ФСБ занялось этим делом в связи с тем, что пострадавшим оказалась госкомпания – "Аэрофлот". Михайлов рассказал вкратце о том, как происходило расследование этого преступления. Сначала никаких подозрений в отношении Врублевского и других обвиняемых не было, но Врублевский проходил по другим оперативным делам. В то же время оперативные источники из окружения предпринимателя рассказали ФСБ о номерах кошельков Webmoney, между которыми, предположительно, могли передаваться деньги за оплату атаки.
Кошелек отправителя был анонимный, но ранее он проходил в других делах как кошелек Chronopay, в частности, с него осуществлялась оплата некоему Engel за продажу в интернете фармацевтических препараторов, вспоминает Михайлов. Владельца кошелька-получателя удалось установить: это был петербургский программист Игорь Артимович. Во время атаки на "Аэрофлот" он получал порядка $500-1000 в день.
Через оперативные возможности в системе Webmoney удалось установить IP-адрес, с которого осуществлялись заходы в данный кошелек. Этот адрес числился за интернет-провайдером "Национальные кабельные сети" (НКС), куда ФСБ и направило запрос относительно данных пользователя адреса. Затем, получив санкцию Мосгорсуда (на тот момент братья Артимовичи снимали квартиру в столице), начался мониторинг интернет-канала подозреваемых. Это позволило выявить обращения к адресу американского сервера, на котором была обнаружена панель управления ПО Topol-Mailer.
Анализ трафика с помощью утилит Ufasoft Sniffer и WireShark позволил перехватить логин и пароль к данной панели, после чего оперативники зашли туда и заподозрили, что Topol-Mailer является бот-сетью. В частности, в панели была статистика о зараженных компьютерах и их IP-адресах. Также оперативники скачали оттуда образец программы-загрузчика ("crypted.exe"), устанавливаемой на компьютеры жертв. Между тем, доступ к панели управления Topol-Mailer осуществлялся по зашифрованному протоколу SSL, что должно исключить возможность расшифровки перехваченного трафика.
"На самом деле, использование сервисов с протоколом SLL, например, Gmail, не защищает от перехвата идентификационной информации, - пояснил CNews источник в ФСБ. – Например, пароль может в некоторых случаях передаваться в открытом виде или сохраниться в кэше. Аналогичным образом нами был получен пароль от страницы Facebook свидетельницы Анастасии Курочкиной, когда суд, в рамках данного дела, поставил нам задачу найти ее переписку с Врублевским".
Врублевский спросил Михайлова о нестыковке в материалах дела: Мосгорсуд дал санкцию на мониторинг интернет-канала Артимовича и осмотр его места жительства в начале августа 2010 г., тогда как ответ из НКС с указанием того, как зовут и где проживает пользователь указанного ФСБ IP-адреса, пришел лишь в конце сентября.
"У нас есть оперативно-техническое управление, которое может в ускоренном порядке, без санкции суда получить информацию от провайдера о каком-либо IP-адресе, - пояснил Михайлов. - После чего мы просим сохранить провайдера данную информацию и затем оформляем соответствующий запрос в официальном порядке".
Перехваченный ФСБ пароль доступа к Topol-Mailer вместе со скаченным оттуда файлом были записаны на компакт-диск и отправлены на экспертизу в Group-IB, где эксперт подтвердил предположения оперативников: Topol-Mailer – это бот-сеть, а "crypted.exe" является вредоносной программой. Адвокат Игоря Артимовича Павел Зайцев поинтересовался другой нестыковкой в материалах дела: диск из ФСБ был отправлен 8 сентября 2010 г., а исследование проводилось с 10 по 25 сентября.
В запросе ФСБ говорилось, что указанные действия осуществляются с санкции Мосгорсуда, при этом был указан номер соответствующего решения. Но, согласно материалам дела, это решение было вынесено лишь 30 сентября – то есть уже после проведения исследования. Михайлов затруднился дать точный ответ на этот вопрос, предположив, что все дело в банальной ошибке в документе.
Зато Михайлов фактически согласился с основным доводом защиты – то, что инкриминируемая обвиняемым статья 272 Уголовного кодекса (неправомерный доступ к информации) не соотносится с Ddos-атакой. "Конечно, Ddos-атака – это преступление, но, к сожалению, законодатели пока так и не учли наши предложения относительно введения отдельного наказания за данный вид деяний, - заявил Сергей Михайлов. - Что касается неправомерного доступа к информации, то при Ddos-атаке он происходит только к зараженным компьютерам, а не к атакуемым серверам".
Обычно организаторов Ddos-атак судят по статье 273 (создание и распространение вредоносных программ), однако в случае с атакой "Аэрофлота" обвинение по данной статье утратило срок давности. Впрочем, прокурор Сергей Федоров возразил, что, согласно Закону "Об информации, информационных технологиях и защите информации", сама возможность неправомерного доступа к информации является незаконной.
Слушания по делу о Ddos-атаке "Аэрофлота", проходящие уже год, подходят к концу. Приговор обвиняемым, как ожидается, будет вынесен уже на следующей неделе. Дмитрий Артимович выразил надежду, что судья Наталья Лунина в приговоре даст оценку "многочисленным нестыковкам относительно вещественных доказательств", обнаруженным в ходе судебного следствия, а также вызвавшим споры действиям следователя Сергея Дадинского. В ближайшие дни состоятся прения сторон, после чего прокурор должен будет заявить о требуемом наказании для обвиняемых.