Как журналист-одиночка разрушил бизнес подпольных российских хостинг-провайдеров

- КиТ :: Будь в СЕТИ!

В США вышла книга журналиста Брайана Кребса (Brian Krebs) “Spam Nation”, посвященная «русским хакерам». В том числе в книге рассказывается о создании жителями постсоветских стран abuse-устойчивых хостинг-провайдеров (bulletproof).

Такие провайдеры размещали ресурсы с сомнительной репутацией: детской порнографией, панелями управления ботнетами и спам рассылками, пиратским ПО, фишингом и пр.

Наиболее известным из них была петербургская компания Russian Business Network (RBN), пик могущества которой пришелся на 2007 г. Хостинг у RBN стоил $600-800 в месяц – примерно в 10 раз больше, чем у других хостинг-провайдеров. Зато клиенты RBN получали защиту от удаления своих ресурсов по жалобам компетентных органов.

Как говорит французский исследователь ИТ-безопасности Давид Бизюль (David Bizeul), RBN пыталась создавать имидж респектабельной компании: хостинг-провайдер имел собственную «abuse-team», которая рассматривала жалобы на своих клиентов. Однако эта команда для удаления какого-либо контента требовала соответствующего письма от российских властей, получить которое было практически невозможно.

Кребс полагает, что высокая стоимость хостинга на RBN была связана с тем, что в нее входили взятки российским чиновникам, прикрывавшим деятельность хостинг-провайдера. Истоки же RBN ведут к белорусскому кибер-криминалу.

Брайан Кребс

Кребс указывает на Александра Рубацкого. По данным белорусского документалиста и журналиста Виктора Чамковского, с 1995 г. Рубацкий занимался кражей данных кредитных карт и организацией сайтов с детской порнографией. Порнобизнес Рубацкий вел через американскую компанию Kristal Group, которое зарегистрировала множество доменов, включающих слово “lolita”.

Связь Russian Business Network с белорусской ОПГ

Компания имела счета в латвийских банках, а доверенность на управление ей была выдана партнеру Рубацкого Геннадию Логинову. Его брат Александр был лидером созданной в начале 1990-х годов в Белоруссии организованной преступной группировки (ОПГ) «Поселковые». Изначально «Поселковые» специализировались на похищении людей, но с приходом Рубацкого занялись также преступной деятельностью в интернете.

В 1998 г. Александр Логинов попал в крупный скандал. Из-за ссоры на дискотеке «Макс-Шоу» он ранил из пистолета тренера сборной Белоруссии по хоккею Михаила Захарова. Компаньонами Захарова на том мероприятии были сыновья президента Белоруссии Александра Лукашенко – Виктор и Дмитрий. После этого Александр Логинов сбежал в Россию, а лидерство в группировке отошло к его брату Геннадию.

Как белорусский программист подставил российскую платежную систему

Первоначально Kristal Group работала через российскую платежную систему Cyberplat и ее владельца банк «Платина». В 2001 г. Cyberplat сама наняла на работу Рубацкого. Как писала «Белгазета», Рубацкий создал собственный отдел программистов, который должен был искать уязвимости в ИТ-системе Cyberplat. На деле же команда Рубацкого занималась воровством данных клиентов Cyberplat.

Когда Cyberplat обнаружила это, она обратилсь в белорусские правоохранительные органы. В коттедже Рубацкого в Боровлянах, где работали 16 программистов, был проведен обыск и изъято 20 компьютеров. Рубацкому предъявили обвинение в разработке вредоносных программ и незаконном доступе к компьютерной информации. Сам Рубацкий утверждал, что он лишь хотел продемонстрировать возможности своей команды по поиску уязвимостей в ИТ-системе Cyberplat, однако суд приговорил его к шести месяцам тюрьмы (правда, вступление приговора в силу было заморожено).

Скандал вокруг Cyberplat и детской порнографии

Александр Рубацкий не остался в долгу и передал властям США базу данных клиентов Cyberplat. Американцы давно подозревали, что значительная часть владельцев сайтов с детской порнографией принимает платежи через Cyberplat и его владельца – банк «Платина».

В результате 2002 г. вокруг Cyberplat разгорелся скандал и компании пришлось уволить 40% своих сотрудников, включая топ-менеджмент. Как рассказывал CNews источник, знакомый с данным делом, владелец банка «Платина» Андрей Грибов тогда с трудом «удержался на ногах». Расследование стало первым делом сотрудника Центра информационной безопасности (ЦИБ) Федеральной службы безопасности (ФСБ) Сергея Михайлова. Позднее Михайлов стал замруководителя ЦИБ ФСБ, а в 2019 г. его осудили на 22 лет тюрьмы за шпионаж в пользу США.

Детская порноагрфия и компания – клиент Альфа-банка

После скандала с Cyberplat Рубацкий с Геннадием Логиновым продолжили свой бизнес. Kristal Group перешла на работу с другой российской системой – петербургской «Альфа-пей», которая, со своей стороны, сотрудничала с Альфа-банком. Kristal Group работала с «Альфа-пей» не напрямую, а через посредника – компанию «КоннектОпт».

«Белорусская деловая газета» и «Вечерний Минск» утверждали, что Рубацкий заранее готовил переезд с Cyberplat на «Альфа-пей». А программисты, которых он набирал в Белоруссии для работы на Cyberplat, на допросах в Прокуратуре Республики заявили, что им сразу говорили о необходимости работы для «Альфа-пей». За первые три месяца 2002 г. компании Рубацкого провели через «Альфа-пей» $1,7 млн.

По данным «Белорусской деловой газеты», Рубацкий контактировал в Альфа-банке с руководителем управления пластиковых карт петербургского филиала банка Владимиром Куровым. Кребс считает, что «Альфа-пей» была создана Рубацким с помощью его связей в Альфа-банке.

Пресс-служба Альфа-банка заявила CNews, что банк не был связан с компанией «Альфа-пей». Данная компания была одним из клиентов банка и получала услуги процессинга интернет-платежей. «После того, как в прессе появились сведения о том, что эта компания принимает платежи сомнительного характера, Альфа-банк прекратил обслуживание данного клиента», - сообщили в банке».

В те годы с сайтами с детской порнографией работал еще один платежный шлюз, латвийский Smc.lv. Для взаимодействия с ним Рубацкий организовал другую платежную систему – Feliz Trading. Также им были организованы платежные системы Decontex Commercial, Union Billing, Euro Billing, Rape Billing и Teens Billing.

Кроме того, Рубацкий создал усовершенствованную версию ПО Payment Gate, позволявшую платежной системе самой выбирать банк, с которым ей стоит работать. Рубацкий организовал и службу технической поддержки, которая пыталась убедить американских пользователей, что компания не нарушает законодательства США.

Холдинг компаний, связанных с детской порнографией

По данным белорусского документалиста Виктора Чамковского, снявшего о «поселковых» фильм «Операция «Консорциум», Александр Рубацкий и Геннадий Логинов создали целый холдинг компаний, связанных с детской порнографией. Они занимались съемками детей, дистрибуцией, платежами и комиссиями. Сайты Рубацкого приносили ему порядка $5 млн в месяц и имели более 100 тыс. посетителей в день.

При этом партнеры хорошо подготовились на случай возможных проблем. Логинов построил под Минском коттедж с системой видеонаблюдения и сигнализации, а его команда обзавелась оружием, полицейской униформой, радиостанциями, подслушивающими устройствами, сканерами местности и т.п. В коттедже работала группа программистов, которая отвечала за функционирование биллингового центра, обслуживающего сайты с детской порнографией. Вырученные средства отмывались через офшорные компании.

Сотрудников Логинова тренировал бывший офицер спецподразделения «Альфа» Комитета государственной безопасности (КГБ) СССР Алексей Кистень.

Тренинг включал в себя физическую и психологическую подготовку, а также приобретение медицинских и технических навыков. По словам замглавы МВД Белоруссии Игоря Пармона, люди Логинова также должны были сдавать письменные тесты и наказывались за пропуск занятий.

ОПГ «Поселковые» состояла из четырех независимых друг от друга групп, каждая из которых подчинялась непосредственно Геннадию Логинову. Силовым блоком руководил Павел Бондаренко, ИТ-блоком – Александр Рубацкий и Марина Мацко, финансовыми операциями - некий Долико. Также была группа боевиков, подчинявшаяся некоему Цишевичу, сподвижнику Александра Логинова.

Членов ОПГ обязали купить электронные записные книжки и заносить туда множество информации: домашние телефоны и телефоны мест ночевки членов группы; домашние и другие телефоны работников милиции и государственных служащих; домашние и другие телефоны крупных бизнесменов и других людей, которые могут быть скомпрометированы связью с системой.

Телефоны в записной книжке должны быть помечены рабочими кличками, известными только владельцу книжки. Электронную книжку всегда нужно носить с собой или оставлять в доме в спецчемодане. При опасности задержания все данные из книжки должны быть стерты, а саму книжку следует сломать.

Конкуренты заказали похищение специалиста по детской порнографии

Как писала «Белорусская деловая газета», в 2002 г. Логинов решил разобраться со своим конкурентом – белорусским предпринимателем Евгением Петровским (ник Pet). По данным белорусского издания «Хартия’97», первый капитал Петровский заработал путем кражи данных банковских карт у российской платежной системы «Ассист». Затем он занялся детской порнографией и создал для этого платежную систему Sunbills (позднее она была переименована в BilLCards).

Первоначально BillCards работала через Smc.lv, затем переключилась на Cyberplat. Связь Петровского с BillCards подтверждается и исследованием одесской компании Computer Crime Research. Петровский зарабатывал на детской порнографии до $500 тыс в месяц. У «поселковых» появилось желание «разобраться» с Петровским, которое стало для них роковым.

В 2002 г. машина Петровского была остановлена переодетыми милиционерами (в банде «Поселковых» были сотрудники правоохранительных органов), которые похитили его и удерживали в пригороде Минска. Когда власти начали поиск Петровского и стали приближаться к месту его заточения, Петровского перевезли в Россию - в поселок Нестерово Рузского района Подмосковья.

Охраной Петровского занимались Александр Логинов и Цишевич. В допросах бизнесмена участвовал и Геннадий Логинов, представлявшийся как «Ипполит Матвеевич». За Петровского потребовали выкуп в размере $1 млн (затем эту сумму снизили до $100 тыс.). Но бизнесмен смог втайне от похитителей, получить доступ к своему ноутбуку и передать по электронной почте информацию о своем местонахождении своим друзьям.

Кроме того, Петровский смог с личного мобильного телефона позвонить своей жене, что также позволило вычислить его местонахождение. После этого он был освобожден в результате совместной операции российских и белорусских правоохранительных органов.

Александр Логинов был осужден в России на три с половиной года, а затем экстрадирован в Белоруссию по делу о перестрелке в ночном клубе. В Минске он предстал перед судом вместе со своим братом и другими подручными. В 2005 г. суд приговорил Геннадия Логинова к 15 годам тюрьмы, Александра – к 14.

Через некоторое время Александра Логинова вернули в Россию отбывать срок, к которому его приговорил российский суд. В 2008 г. Логинова обратно вернули в Белоруссию. Петровский же, по данным Ecommerce Journal, скрылся на Украине, где продолжал получать угрозы от «Поселковых».

Оперативники Управления «К» МВД Белоруссии с интересом изучали изъятый у Геннадия Логинова компьютер, где в зашифрованном виде хранилось множество полезной информации о криминальной деятельности «поселковых». В числе прочего под видом компьютерной игры скрывалась база данных.

«Дело по организации «Поселковые» было новой вехой в истории отечественного следствия, - говорит Игорь Пармон. – Можно считать, что это был экзамен для правоохранительных органов по раскрытию преступлений с привлечением технических средств и информационных технологий. Многие методы выявления злодеяний были беспрецедентны для Белоруссии».

Форумы веб-мастеров порнографических сайтов

У Евгения Петровского был российский партнер, Игорь Гусев, ранний соучредитель платежной системы Chronopay, который затем разошелся взглядами с ее основным владельцем Павлом Врублевским и занялся собственным бизнесом.

Гусева считали создателем партнерских программ Glavmed и Spamit, продвигавшим фармацевтические препараты в зарубежном интернете. Такого рода препараты производились, как правило, в странах Азии, и в указанных сетях их можно было купить без предъявления необходимых для этого рецептов. В 2009-2010 гг. Glavmed и Spamit были основными распространителями спама в мире.

Гусев признался Кребсу, что он стоял за указанными фармацевтическими сетями. Но Гусева также подозревали в создании форума для веб-мастеров подпольных сайтов Darkmaster, где, в том числе, общались создатели сайтов с детской порнографией. Ник администратора Darkmaster был такой же, как и у Гусева – Desp.

Гусев заявил Кребсу, что реальным администратором форума Darkmaster был другой человек – с ником Master. Якобы он заплатил Гусеву за возможность использования его ника.

В том, что Гусев стоял за Darkmaster, уверен и Павел Врублевский. Самого Врублевского, правда, также подозревали, что он под ником Redeye администрировал другой форум подпольных веб-мастеров - Crutop. Также Врублевского подозревали в том, что он был совладельцем партнерской сети Rx-Partners – конкурента Glavmed и Spamit.

Собеседник CNews, знакомый с фигурантами данной истории, говорит, что противоречия между Врублевским и Гусевым начались после того, как Гусев якобы предложил разрешить обсуждать на Crutop темы, связанные с детской порнографией, против чего выступил Врублевский. Из-за этого Гусев якобы решил отделиться и создать собственный форум Darkmaster. Сам Врублевский свою связь с Crutop, Redeye и Rx-Promotions отрицал.

Войны внутри теневого интернета

В интервью Кребсу Врублевский рассказал о том, что между Alfa-pay и BillCards развернулась настоящая война. Обе системы сливали в СМИ компромат друг против друга и инициировали возбуждение друг против друга уголовных дел. В результате оба бизнеса закрылись.

Эта история крайне похожа на войну между Врублевским и Гусевым, развернувшуюся за передел подпольного рынка онлайн-фармацевтики. В 2010 г. на Гусева в России было возбуждено уголовное дело о незаконном предпринимательстве, база его клиентов была передана властям США, а принадлежащие ему партнерские сети закрылись.

В 2011 г. был арестован уже сам Врублевский. Его обвинили в заказе DDoS-атаки против платежной системы «Ассист», из-за которой летом 2010 г. в течение недели была недоступна оплата электронных билетов на сайте ее основного клиента – «Аэрофлота». В 2013 г. суд признал Врублевского виновным и приговорил его к 2,5 годам тюрьмы.

Расследованием дела занимался упомянутый Сергей Михайлов. Впоследствии Врублевский заявил, что дело было сфабриковано Михайловым, так как владелец Chronopay якобы знал о его связях с американскими спецслужбами. Материалы, переданные Врублевским, и легли в основу обвинения Михайлова в сотрудничестве в измене Родине.

Как российский хостинг-провайдер незаконного контента получил выход зарубеж

Рубацкий также проходил по делу «Поселковых» и был объявлен в Белоруссии в международный розыск. Но ему удалось избежать ареста и перебраться в Санкт-Петербург, где он решил заняться хостинговым бизнесом. Как рассказал Кребсу Врублевский, Рубацкий договорился о сотрудничестве с петербургским провайдером «Элтел», у которого якобы была крыша в ФСБ.

Врублевский утверждал, что «Элтел» якобы обслуживал сайты с детской порнографией, но другие провайдеры блокировали приходящий от него трафик. В связи с этим, как говорит владелец Chronopay, Рубацкий предложил сделать прямой стык между «Элтел» и зарубежными магистральными каналами – шведско-финской TeliaSonera (нынешнее название – Telia) и итальянской Tiscali.

Якобы Рубацкий потратил немало средств на то, чтобы у «Элтел» появились такие возможности. В результате же образовался хостинг-провайдер Russian Business Network. Его руководителем стал Евгений Сергеенко (ник Flyman). Инновацией RBN стали центры управления ботнетами.

В 2007 г. технический директор «Элтел» Андрей Кузнецов говорил CNews, что его компания не сотрудничает с RBN. Он также выразил сомнение в том, что подобного рода нелегальная сеть смогла бы долго просуществовать, так как сайты с детской порнографией оперативно закрывают как Управление «К» МВД, так и сами операторы связи.

По данным Кен Дунхана (Ken Dunhan), аналитика компании iDefense (подразделение американской корпорации Verisign), на ресурсах, размещенных на RBN, полностью отсутствовал контент, не нарушающий закон. «Раньше криминальные группы в интернете создавали «виртуальные дома» безопасности, но в данном случае его не было», - говорит Дунхан.

В октябре 2007 г. Кребс опубликовал в американской газете Washington Post статью об RBN. Позднее на принадлежащем изданию блоге Security Fix Blog были опубликованы подробности о провайдерах, сотрудничавших с RBN. После этого тысячи IP-адресов, принадлежащих RBN, были отключены, а его клиенты были вынуждены уйти к хостинг-провайдерам из Китая, Кореи и Италии.

В августе 2008 г. Кребс написал статью в Washington Post о другом abuse-устойчивом хостинг-провайдере – Atrivo, расположенном в Северной Калифорний (США). Atrivo игнорировал запросы правоохранительных органов об удалении противоправного контента.

Доклад о деятельности Atrivo сделала организация HostExploit. После этого интернет-провайдеры отключили сервера Atrivo. Благодаря этому перестал работать и червь Storm, чья панель управления размещалась на серверах Atrivo и который в 2008 г. отвечал за рассылку 20% от мирового почтового спама.

Трагическая смерть владельца хостинг-провайдера, обслуживавшего незаконные ресурсы

Одновременно в России набирал обороты бизнес еще одного abuse-устойчивого хостинг-провайдера – McColo, многие клиенты которого также работали и с Atrivo. Он был создан Николаем Макколо (ник Kolya). В сентябре 2007 г. его жизнь трагически оборвалась. Он принимал участие в уличных гонках в Москве.

Макколо был пассажиром BMW 760, который соревновался с Porsche Cayenne. Водитель BMW 760 был пьян: он отмечал рождение ребенка и вместе с Макколо пил водку. В районе Сухаревской площади оба автомобиля врезались в ограждение. Макколо погиб, хотя оба водителя выжили.

Сообщение о смерти Макколо появилось на вышеупомянутом форуме Crutop. Спамеры, общавшиеся на этом форуме и пользовавшиеся услугами McColo, пришли в церковь на церемонию прощания с владельцем хостинг-провайдера.

Среди них был Дмитрий Нечовод (ник Gugle), также пользовавший услугами Mccolo. Нечовода считают создателем бот-нета Cutmail, рассылавшего спам. Нечовод был также партнером упомянутых партнерских программ по распространению фармацевтики Glavmed и Spamit.

Вместе с Нечоводом работал спамер Игорь Вишневский. Он рассказал Кребсу, что над Cutmail трудилось пять полноценных программистов, а для обслуживания клиентов данного бот-нета Нечовод нанял службы поддержки.

В книге Кребса утверждается, что именно Нечовод был причиной раздора Врублевского и Михайловым, которое вылилось в уголовное преследование сначала первого из них, а потом - и второго. Якобы сотрудники Американского аэрокосмического агентства (NASA) хотели провести в России операцию по аресту Нечовода, так как Cutmail поразил компьютеры агентства. Но Врублевский якобы предупредил Нечовода, и тот успел скрыться на Украине.

После смерти Николая Макколо его партнер (некий Алексей) сообщил, что хостинг-провайдер McColo продолжит работу. Нечовод и другие спамеры поверили ему и продолжили работать с McColo. Преимуществом McColo было наличие серверов в США.

Как в американских СМИ цензурировали статьи о киберпреступлениях

В ноябре 2008 г. Кребс обнаружил, что сервера McColo, как и сервера упомянутого хостинг-провайдера Atrivo, располагались в Северной Калифорнии, и ее обслуживали два американских магистральных провайдера: Global Crossing и Hurricane Electic. Также панели управления пяти главных на тот момент ботнетов располагались на тот момент на серверах McColo.

После разговора Кребса с директором по маркетингу Hurricane Electic Бенни Нг (Benny Ng) провайдер отключил сервера McColo. Это привело к падению уровня мирового спама на 75%. Вишневский признал в разговоре с Кребсом, что после отключения серверов McColo ему пришлось переезжать с американских на китайские сервера и это было очень неудобно.

Кребс написал в Washington Post статью о McColo, но ее удалили: юристы испугались рисков подачи иска со стороны хостинг-провайдера. Так начинался конфликт Кребса со своей редакцией.

Многие клиенты McColo перешли к другому abuse-устойчивому хостинг-провайдеру – Triple Fiber Networks (3FN). Его сервера также работали в Северной Калифорнии. Анализ записей на русскоязычном форуме спамеров Spamdot.biz показал, что 3FN активно переманивала к себе клиентов McColo. Форум Crutop также размещался на серверах 3FN.

Кребсу стало известно, что 3FN является объектом расследования американских властей. Журналист подготовил об этом статью для Washington Post, но редакторы не стали ее публиковать: от Кребса потребовали официального подтверждения факта расследования от властей или неофициального подтверждения минимум от двух источников.

В итоге летом 2009 г. Федеральная торговая комиссия США обратилась с иском в суд Северной Калифорнии, который запретил провайдерам пропускать трафик от 3FN. Сервис перестал работать. Произошедшее вызвало негодование пользователей Crutop. Они удивились, откуда Кребс мог понять содержимое русскоязычных сообщений на данном форуме.

В том же году Кребс готовил статью о Chronopay и Врублевском. Он расследовал деятельность фальшивых антивирусов – программ, которые, попадая на компьютер пользователя, вынуждают его платить за ложное антивирусное ПО. Одним из примеров такого вредоносного ПО была программа Conficker, которая заставляла пользователей скачивать фальшивый антивирус Trafficconverter.biz.

Кребс пришел к выводу, что оплата за фальшивые антивирусы во многих случаях производилась через Chronopay. Также журналист посчитал, что Врублевский является администратором форума Crutop. Статья об этом в Washington Post задерживалась на несколько месяцев, но в итоге все-таки была опубликовала.

Но редакторы сказали Кребсу, что ему следует сосредоточиться на технологиях, а не на киберпреступлениях. Кребс же желал продолжать расследовать деятельность киберпреступников, в особенности из Восточной Европы. В итоге в конце 2009 г. Кребс покинул газету. Журналист решил завести собственный блог об информационной безопасности и зарегистрировал для этого домен Krebsonsecurity.com.

Домен был зарегистрирован анонимно и журналист никому, кроме своих родственников, об этом не рассказывал. Пользователи Crutop, узнав об уходе Кребса из Washington Post, но не зная, что он остается в профессии, радовались этому событию и благодарили за это Санта-Клауса.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg