Оператором ботнета Glupteba и преступного сервиса AWM Proxy является один и тот же россиянин

7 декабря прошлого года компания Google заявила , что подала в суд на двух граждан РФ Дмитрия Старовикова и Александра Филлипова, предположительно являвшихся операторами Glupteba – ботнета, за последние десять лет заразившего миллионы устройств по всему миру. В тот же день сервис анонимизации AWM Proxy, в течение 14 лет сдававший в аренду киберпреступникам взломанные компьютеры, внезапно ушел в offline. ИБ-эксперты уже давно искали связь между Glupteba и AWM Proxy, и одно из последних исследований показывает, что основатель AWM Proxy – это один из тех двух россиян, на которых подала в суд Google.

AWM был запущен в 2008 году и быстро стал популярнейшим среди киберпреступников сервисом для маршрутизации вредоносного трафика через скомпрометированные устройства. В 2011 году сообщалось , что практически все сдаваемые внаем взломанные системы были заражены руткитом TDSS, устанавливающимся глубоко в Windows-ПК и сохраняющимся на нем даже после перезагрузки.

В марте 2011 году исследователи безопасности из ESET обнаружили, что TDSS использовался для развертывания на зараженных компьютерах руткита Glupteba, похищающего учетные данные, отключающего решения безопасности и пытающегося взломать другие устройства в сети, в том числе маршрутизаторы и мультимедийные хранилища с целью ретрансляции спама и другого вредоносного трафика.

В течение последних десяти лет Glupteba и AWM Proxy существенно выросли. Если в 2011 году AWM Proxy продавал доступ примерно к 24 тыс. взломанных ПК, то спустя десять лет он предлагал в 10 раз больше каждый день. В свою очередь, ботнет Glupteba охватил более миллиона устройств по всему миру.

Однако в декабре 2021 года Google сообщила, что приняла технические меры по отключению ботнета Glupteba и подала гражданский иск против двоих россиян, предположительно являющихся его операторами.

В тот же день AWM Proxy был отключен. Сервис в экстренном порядке уведомил своих пользователей о переезде на другой домен. Однако новые домены отключались один за другим.

Ранее в этом месяце правоохранительные органы США, Германии, Нидерландов и Великобритании совместными усилиями отключили ботнет RSOCKS – еще один сервис проксирования, работавший с 2014 года. Владельцем сервиса оказался 35-летний житель Омска Денис Емельянцев, которому также принадлежит крупнейший в мире форум спамеров.

Как сообщает журналист Брайан Кребс, вскоре после публикации истории Емельянцева с ним связался соучредитель ИБ-стартапа Spur.us Райли Килмер (Riley Kilmer), который сообщил, что RSOCKS был отключен тогда же, когда Google предприняла шаги по отключению ботнета Glupteba.

По словам Килмера, каждый раз, когда его компания пыталась подсчитать, сколько систем продает RSOCKS, оказывалось, что каждый продаваемый RSOCKS интернет-адрес был также представлен в сети AWM Proxy. Кроме того, оба сервиса использовали практически идентичные API для отслеживания зараженных систем.

Операторы Glupteba использовали ботнет для отвлечения и кражи огромных сумм доходов от online-рекламы. Факты указывают на то, что все эти операции начались с включения кода Google Analytics в HTML-код оригинального AWM Proxy еще в 2008 году (UA-3816536).

Этот код Google Analytics связан еще с двумя доменами – российскими производителем пластика techplast[.]ru и tekhplast.ru, имеющие еще один общий код Google Analytics (UA-1838317) с доменами web-site[.]ru и starovikov[.]ru.

По данным WHOIS, домены производителя пластика зарегистрированы на некоего Александра Украинского, чья персональная информация также включает домены tpos[.]ru и alphadisplay[.]ru.

ИБ-компания Constella Intelligence выявила десятки вариантов электронных адресов, использовавшихся Украинским в течение нескольких лет, в том числе с паролями 2222den и 2222DEN. Эти пароли использовались человеком, зарегистрировавшим более десятка электронных адресов на имя пользователя dennstr.

Это имя пользователя приводит к нескольким вариациям имени – Денис Стрельников или Денис Странатка. Однако эта информация завела исследователей в тупик.

Дело начало проясняться лишь тогда, когда Кребс запустил в DomainTools поиск оригинальных записей WHOIS для web-site[.]ru. Домен оказался зарегистрирован на адрес lycefer@gmail[.]com. Этот адрес также использовался для регистрации доменов starovikov.ru и starovikov[.]com.

Кэшированная копия страницы контактов на сайте Starovikov[.]com показывает, что в 2008 году на ней была представлена персональная информация Дмитрия Старовикова. Кроме того, судя по учредительным документам, компания LLC Website (web-site[.]ru) была зарегистрирована в 2005 году двумя учредителями, одним из которых является Дмитрий Сергеевич Старовиков.

Круг замкнулся. Согласно иску Google, Старовиков является одним из операторов ботнета Glupteba.

Сам Старовиков не ответил на запрос Кребса, однако его адвокат в прошлом месяце подал заявление в суд Южного округа Нью-Йорка о том, что его клиент не виновен.