ФСБ раскрыла подробности о DDos-атаке на «Аэрофлот»

В четверг, 11 июля, состоялось очередное заседание Тушинского районного суда Москвы по делу о DDos-атаке на провайдера электронных платежей «Ассист», в которой обвиняется владелец процессинговой компании ChronoPay Павел Врублевский. В ходе заседания были заслушаны показания важного свидетеля обвинения - руководителя второго отдела оперативного управления Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова. По словам Михайлова, их отношения с обвиняемым носили и деловой, и личный характер.

«Компания ChronoРay представляла для нас интерес, а Врублевский – умный и уважаемый мною человек, который смог сплотить вокруг себя «хакеров» (под ними мы понимаем, как хороших, так и плохих людей)», - отметил свидетель. 

Напомним, что после ареста летом 2011 года Врублевский заявлял о своей невиновности, а произошедшее назвал «оговором со стороны Сергея Михайлова». Кроме того, он сообщил о том, что у него был «личностный конфликт с Михайловым», однако позже отказался от своих заявлений.

Поскольку пострадавшая в результате кибератаки компания «Аэрофлот» является государственной, расследованием дела занялась ФСБ. Михайлов вкратце рассказал о том, как происходило следствие. Оперативные источники из окружения предпринимателя рассказали ФСБ о номерах анонимных кошельков Webmoney, между которыми, предположительно, могли передаваться деньги за оплату преступления. Этот кошелек ранее проходил в других делах как кошелек ChronoРay, и правоохранители установили личность владельца кошелька-получателя, им оказался программист Игорь Артимович. Во время атаки на «Аэрофлот» он получал порядка $500-$1000 в день. 

IP-адрес, с которого получатель денег «заходил» в данный кошелек, числился за интернет-провайдером «Национальные кабельные сети» (НКС). ФСБ начало мониторинг интернет-канала подозреваемых, который обращался к серверу в США, где была обнаружена панель управления ПО Topol-Mailer, оказавшегося бот-сетью. Доступ к панели осуществлялся по зашифрованному протоколу SSL. Правоохранителям также удалось получить образец программы-загрузчика («crypted.exe»), устанавливаемой на компьютеры жертв.

Перехваченный ФСБ пароль доступа к Topol-Mailer, а также скачанный оттуда файл были отправлены на экспертизу в Group-IB, где эксперт подтвердил предположения оперативников: Topol-Mailer – это бот-сеть, а «crypted.exe» является вредоносной программой.