Недоподброшенный ботнет. Большой пост.
Господа (и дамы).
У нас в суде происходит совершенно чарующее действие.
http://www.regnum.ru/news/economy/1617098.html
Всю тему вместе выложил Компромат.ру тут: http://www.compromat.ru/page_32949.htm
Сотрудник Генеральной Прокуратуры впервые взял паузу в неделю, чтобы разобраться с документами в деле. Момент классический. Некий саспенс. Что-бы до конца его осознать придется сделать то, что давно пора было.
Собственно одна из мыслей которая натолкнула меня на этот пост - это вопрос одного из знакомых, кто прочитав статьи на Cnews, задал совершенно резонный вопрос. Человек исходил из того,что публикации пролоббированы ЦИБом ФСБ в целях влияния на дело, собственно так это или нет я не в курсе и сомневаюсь, поскольку именно ЦИБ далее почти попался на цензуре этих же статей. Собственно попался или нет увидим по результатам заявления которое отдала в органы мой адвокат. Но собственно возвращась к вопросу, он был - а зачем вообще эти подробности на тему "как именно ЦИБ ФСБ ловил хакеров" вдруг понадобилсь в публичном поле, вроде особой новости то тут нет.
И тут я задумался - а действительно зачем.
И тут я понял. Дело тут вот в чем. Для публики кроме непосредственных участников процесса вобщем то совершенно не ясно что собственно происходит в суде. Если быть еще более точным - не ясно собственно в чем нас обвиняют, почему, и как это доказывается. Более того - учитывая общий градус понимания таких вопросов я честно говоря не удивлюсь, что на ведомственном уровне этот вопрос вобщем то не ясен.
Что-ж.
Попробую обьяснить. Это давно пора было сделать.
При этом я не беру в расчет пока формальные стороны вопросов, доказательств, а так же квалификацию содеянного. То есть мы пока не берем в расчет такие вопросы как чем там является ддос Ассиста, имело ли право там СУ ФСБ итд итп. Берем вопрос лишь факта и его доказательств.
Для полного понимания для читателей вне IT тусовки, надо еще представлять себе в общих чертах что такое ДДОС, и что такое ботнет. Если очень кратко, ботнет это сервер в интернете который контролирует условное количество зараженных вирусами компьютеров. От сервера вирусы получают различные команды. Одной из таких команд является поливание нужного адреса в сети бессмысленным мусором с этих вирусов, таким образом что сайт куда идет атака не выдерживает потока и по той или иной причине блокируется. Это смешно в 2013ом рассказывать что такое ДДОС, но необходимо.
И так. Атака произошла летом 2010ого в июле. Дело же было возбуждено 26 Мая 2011г. События указаные ниже произошли в этот период.
Вот цепочка доказательств и собственно дела на основе материалов дела:
1. Сотрудники ЦИБ ФСБ оперативным путем где-то обнаруживают емэйл переписку сотрудников компании Хронопэй из которой следует что компания Хронопэй оплачивает через Webmoney каким-то то людям деньги ежедневно в момент атаки. В целом из описательной части документов ЦИБа есть ощущение, что речь идет о хакерах.
2. На основе этой переписки ЦИБ ФСБ принимает решение, что существует версия о том, что раз Ассист конкурент Хронопэй, а выплаты по 500 долларов в день идут хакерам, то возможно эти хакеры и заддосили Ассист.
3. Из Webmoney по кошельку хакеров Артимовичей сотрудники ЦИБ ФСБ получают IP адрес хакеров Артимовичей и ставят их на перехват траффика, СОРМ-2.
4. Из СОРМ-2 ЦИБ ФСБ получает логин и пароль к некоей "админке" некоего ботнета расположеного где-то далеко. Сотрудники ЦИБ ФСБ заходят с полученым паролем и логином на ботнет, делают скриншоты админки ботнета, и скачивают некую программу crypted.exe , которая является одной из программ предположительно вирусов которыми ботнет заражает пользователей. Через СОРМ-2 же получен доступ к логам ICQ предположительно Артимовичей с не известно кем, впрочем к атаке логи ICQ отношения не имеют, скорей служат для оперативников подтверждением того, что братья Артимовичи якобы в курсе, что за ними следят ФСБ.
5. Одновременно ЦИБ ФСБ запрашивает в Касперском который по случаю защищает неуспешно от ДДОСа компанию Ассист IP адреса атакующих вирусов, которые и получает от Касперского.
6. Доступ в админку ботнета отдается компании Group-IB которая в свою очередь сравнивает показатели внутри админки (все еще под управлением хакеров) так называемых "загрузок", т.е. предположительно загрузок ботнетом новых вирусов в момент атаки и приходит к выводу, что загрузки вирусов увеличились количественно,что свидетельствует о том, что в этот период проводилась мощная атака по мнению оперативников и Group-IB и так же Group-IB сравнивает полученые через ЦИБ ФСБ из Касперского IP адреса атакующих вирусов с IP адресами загруженных вирусов этим ботнетом и видит совпадения на 30%. Из этого делается вывод, что данный ботнет мог атаковать Ассист, поскольку грубо говоря на 30% из тех компьютеров, что атаковали по мнению Касперского Ассист 30% заражались в это же время вирусами от ботнета Артимовичей. Компания Group-IB тоже делает аналогичные скриншоты админки ботнета. Скриншоты и у оперативников и у Group-IB одинаковые количеством 7 штук помоему. (Один из этих скриншотов и вызвал целую тему с цензурой и сливами описаную в постах и новостях ниже).
7. На основании этого оперативники, поспорив с СУ ФСБ России о важности вопроса в целом, возбуждают в СУ ФСБ России уголовное дело по ДДОСу компании Ассист с подозреваемыми мною и хакерами Артимовичами.
При этом в переписке указанной изначально присутствует некий сотрудник ЗАО Хронопэй, Максим Пермяков, по версии следствия являвшийся посредником между Артимовичами и мною, поскольку якобы я давал указание ддосить именно ему, а Артимовичи уже от него в свою очередь получили заказ, сам же Максим в прошлом являлся сотрудником в недалеком прошлом (собственно пришел оттуда) того же оперативного подразделения ЦИБ ФСБ России которое и возбудило дело.
Дальше уже идет история как говорится. Уже после возбуждения дела 26 Мая 2011.
Не буду описывать далее для экономии места всю эпопею с арестами и прочим, формальностиями, но вернусь к самому важному - доказательствам.
8. У Игоря Артимовича изымают его ноутбуки. Выясняется, что ноутбуки не могли участвовать в атаке ибо новые. Ноутбуки через 3-4 месяца уходят на экспертизу в Лабораторию Касперского которая обнаруживает на них в течении двух месяцев исходный код предположительно того-же ботнета который ранее видели оперативники. Авторство ботнета ЛК не устанавливает.
Вот собственно картина. Конечно же за исключением признанок. По поводу признанок единственное, что имеет значение на данный момент - они не подтверждаются абсолютно ничем кроме того, что эпистолярный жанр детектива раскрыт красиво. Т.е. нет никаких прослушек, перехватов ICQ, емэйлов или еще чего имеющих отношения к этим признанкам и расписаным в них ролям преступников и их взаимотношений.
Других каких-либо доказательств, технических деталей, экспертиз, исследований, еще каких-либо прослушек, переписок итд итп в деле нет.
Вот теперь наконец вы собственно и поймете в чем тут собака порылась. На основании вышеизложенного следствие вменяет по сути что при помощи ботнета Тополь-Мейлер, он же известен Festi по омериканчегам, и это ст 273 УК РФ (вирусы), хакеры Артимовичи осуществили доступ (а это ст 272 УК РФ) к серверам ООО Ассист который повлек блокировку этих самых серверов.
Я намерено не беру формальную сторону вопроса. Как нам там вменили вообще другой закон случайно, то что блокировку декриминализовали, мне случайно "соучастие" по сути вменили, итд итп. Я говорю сейчас по существу.
Так вот.
Для того чтобы понять все дальнейшее всем сторонам далеким от IT (к счастью включая следствие) по-просту не хватает аналогии которую следствие собственно и заложило в формулу обвинения. По сути при помощи некоего кибер-оружия (ботнет) было осущствлено некое преступное действие у которого возникли последствия. Условно как в 105ой, при помощи пистолета выстрелил в человека, от чего человек оказался ранен (или убит). Или при помощи бомбы взорвали некий завод, от чего он остановился.
На данный момент в суде выяснилось - "труп Ассиста", т.е. верней саму компанию и ее сервера никто не исследовал на предмет "ранения". То есть что там произошло известно исключительно со слов, причем самое прикольное - сами свидетели ничего не видели, а ссылаются на слова админов, которых в свою очередь вообще не допрашивали. "Оружие" опять же не было изьято, т.е. никакого ботнета у следствия тоже нет. Сам факт существования ботнета известен со слов компании Group-IB которая его "мамой клянусь" видела и безимянных оперативников ЦИБа которые его тоже "мамой клянусь" видели, причем и у тех и у других одни и те же скриншотики которые они раскидвают по статейкам на право и на лево. К этому я еще вернусь. Это первопричина этого поста. По той же аналогии Касперский грубо говоря изучил "гильзу" полученную от оперативников которые "мамой клянусь" ее взяли с ботнета, и сравнил ее условно с схемой создания "самопала" найденой на компьютере Артимовича (исходные коды) поскольку программа crypted.exe сама по себе ничего не делает - это loader, часть ботнета подгружающая на компьютер пользователя ту или иную другую программу с сервера ботнета, может подгрузить ддос модуль, а может что и еще. И пришел к выводу что вроде как подходит, впрочем, что выяснилось на суде, мнение эксперта Касперского исключительно теоретическое, поскольку попробывать что запустить этот самопал в работу, что приложить к нему гильзу на практике, посчитали излишним, другими словами найденый исходный код никто даже не запускал на предмет работает ли он вообще к примеру.
То есть по сути свидетели слышали хлопок, уверены со слов кого-то, что это был взрыв, что взорвалось и как никто не разбирал, зато через 5 месяцев после ареста (!) нашли план-схему некоего "самопала" от которого некую гильзу не имеющую отношение к событию принесли сами же, которая наверное к нему подходит.
Видите - на самом то деле никто не придумал ничего нового еще. Только технологии меняются и самопал сменился на ботнет. Но суть остается на самом деле та же.
И вот тут то и обьясняется причина зачем этот скриншот показывают направо и налево. Дело в том, что грубо говоря, что-бы эта детективная феерия прокатила, надо то было конечно подбросить хотя бы сам "самопал", он же ботнет. И конечно нужен "труп Ассиста".
Поскольку ни трупа ни самопала не обнаружилось, для оперативников становится критично важным доказать всем и вся, что хотя бы ботнет этот вообще был и если не существует уже, то хотя-бы существовал, иначе все это превращается в чудовищную бредятину даже понятийно, а не только юридически. Вот вам и обьяснение почему собственно этот скриншот путешествует по сети.
В принципе используя данные и аналогии выше в целом и так понятны события сопутствующие этому делу.
На этом однако мой пост не заканчивается. И мы переходим к актуальным событиям от теории.
Когда что-либо фабрикуется как правило и это всем известно остаются следы. Ответственность исполнителей пораждает нервозность. Ответственность их руководителей пораждает нежелание проверять материалы по принципу "а я вообще не читал". В нашем случае ситуацию вы видите выше сами. Поэтому совершенно есстественно, что рано или поздно это все начинает выливаться наружу.
В последнем судебном заседании в который уже раз во всей красе именно это и случилось.
Вышеописанные домыслы безымянных оперативников с пункта 1 по 7, как раз где "мамой клянусь видел ботнет", формально отражены в ряде справок приобщенных в дело как доказательство.
Подобные справки являются обьектом государственной тайны и рассекречиваются для уголовного дела. В частности для нашего дела в соответствии с приложенным постановлением руководителя оперативной службы ЦИБ ФСБ России были рассекречены документы, с некими номерами и датами от 2010ого года, названия мероприятий или обьектов учета и точные цифры с датами отредактированы мной ниже до прояснения статуса документов, я поставил прочерк, так что выглядит это примерно в постановлении так:
Справка в отношении компьютерной атаки на информационные ресурсы платежной системы ASSIST ______________от .____2010
Справка по результатам ОРМ КТКС №________ от __________2010
Справка по результатам ОРМ КТКС №________ от ___________2010
Справка по результатам ОРМ КТКС №________ от ___________2010
Справка в отношении кошельков WM Артимовичей ________ от _______2010
Справка по результатам ОРМ КТКС №_________ от _________2010
Справка по результатам ОРМ КТКС №__________ от _________2010
Справка по результатам ОРМ КТКС №___________ от _________2010
Обобщенная справка по результатам работы по _____ "_______" _____________ от 2010г
Обобщенная справка по результатам работы по _____ "_______" _____________от 2011г
Тем не менее в уголовном деле таких документов обнаружить не удалось. Дело в том, что похожие по ним по названиям документы (ну честно, справка ОРМ КТКС она и есть сравка ОРМ КТКС), в таком же количестве и с тем же количеством листов имеют совершенно другие номера и даты, в частности практически все датированы Май 2011г. При этом приложено два рассекреченых решения судов на проведение собственно ОРМ КТКС (это СОРМ-2 по сути), у которых сроки разрешения проведения мероприятий (180 дней) совпадают именно с теми справками которые судя по постановлению о рассекречивании должны быть, но в деле их нет да и сами эти справки ссылаются именно на эти решения. При этом в самом же постановлении о рассекречивании весьма верно написано почему и по какому закону эти справки являются секретными, т.е. по сути не исключено, что вообще оглашались публично документы которые еще не рассекречены, не много ни мало. Сверх того. Сама форма справок вообще не имеет грифа секретности. Это учитывыя вышеизложенное - вообще прямой признак фабрикации, а не только нарушения секретности. Причем самое интересное - ко всему этому привела неуместная чья-то тяга к пиару. Поскольку в полный рост это встало так сказать из-за истории изложенной ниже о цензурировании статьи в CNEWS. Впрочем теперь понятно почему ее вообще понадобилось срочно цензурировать.
Кстати изучать эти документы - это удивительный и полный сюрпризов опыт сам по себе. Например компания Group-IB исследовала список атакующих ботов в 2010ом году (по материалам исследования) который был получен из ЦИБа ею же в 2010ом и переправлен ЦИБом ей тоже в 2010ом по письму ЦИБа. В тоже время сам список ботов был запрошен ЦИБом ФСБ в Касперском в Мае 2011ого, и что любопытно отправлен из Касперского по письму обратно в ЦИБ ФСБ всемирно известной Лабораторией тоже в 2011ом. То есть кто-то в Group-IB ли, или в ЦИБе, слетал очевидно в будущее. За списком. Или Касперский в прошлое. С списком. Впрочем такие подвиги в этой замечательной тусовке я смотрю там совершают сплошь и рядом.
В результате собственно Генеральная Прокуратура и взяла паузу на недельку подумать, что с этими документами делать. Кстати второй раз уже. В первый раз не менее увлекательное шоу обеспечил гражданин Ануфриев из Лаборатории Касперского. Он оказался магом. У него даже Молот Тора висел в ухе.
Но об этом я надеюсь расскажет либо кто-либо еще либо уж потом.
P.S. Важное добавление. Тут попросили дополнить - провести аналогию между Ассистом и Аэрофлотом в ключе дела. Это примерно тоже самое что завод где вроде как был саботаж не смог отгрузить из-за этого детали покупателю-авиакомпании, которая впрочем их и не оплатила.
P.P.S. Важное добавление 2 (от 26/01/2013): Всю тему супер цензуры ЦИБа выложил сайт Compromat.ru - http://www.compromat.ru/page_32949.htm