Исполнитель DDoS-атаки на «Аэрофлот»: это была месть одному из руководителей ФСБ.

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.900
Репутация
62.390
Реакции
277.090
RUB
0
Спустя 10 лет после DDoS-атаки на «Аэрофлот», парализовавшей продажу электронных билетов на его сайте, один из ее исполнителей заявил, что владелец платежной системы Chronopay Павел Врублевский заказал атаку ради дискредитации замруководителя Центра информационной безопасности ФСБ Сергея Михайлова.

Признание хакера, атаковавшего «Аэрофлот»

Хакер Дмитрий Артимович, 10 лет назад осуществивший DDoS-атаку против «Аэрофлота», рассказал о причинах этого инцидента. Свое заявление он опубликовал в серии роликов, размещенных на видео-хостинге YouTube.


В середине 2000-х годов Дмитрий Артимович и его брат Игорь занимались разработкой 3D-игр. Затем они переориентировались на поисковую оптимизацию (SEO) и стали участвовать в партнерских программах по подпольной продаже фармацевтических препараторов в зарубежном интернете.

Как братья Артимовичи стали хакерами

Идея таких партнерских программ состоит в том, что на Западе лекарственные препараты стоят дорого, а их приобретение, как правило, требует наличия рецепта. В то же время в странах Азии производятся дженерики – аналоги известных препаратов, которые стоят значительно дешевле и продаются без рецептов.


Партнерские программы сводили клиентов из США и других стран Запада с поставщиками из Индии и Китая. Участником партнерской программы может быть любой желающий веб-мастер: он создает собственные витрины и получает комиссию за каждого привлеченного клиента.


Основным способом продвижения подобного рода продукции был поисковый и почтовый спам. Для рассылки почтового спама необходим бот-нет: вредоносное ПО, которое незаметно устанавливается на компьютеры обычных пользователей и начинает рассылать с них спам. Изначально Артимовичи арендовали чужие ботнеты, но соответствующие услуги стоили дорого.

Кроме того, купить «чистую» загрузку было сложно. Владельцы ботнетов, как правило, продавали доступы к зараженным компьютерам сразу нескольким клиентам, из-за чего данный компьютер быстро выпадал из сети. В результате Артимовичи написали собственный ботнет – Topol-Mailer – который маскировался под драйвер ОС .

Загадочная личность создателя Chronopay Павла Врублевского

Как рассказывает Дмитрий Артимович, первоначально он и его брат сотрудничали с сетью Glavmed, Игорем Гусевым и являвшейся в 2009-2010 гг. крупнейший партнерской программой по продаже фармацевтических препараторов.


Позже из-за конфликта с Гусевым Артимовичи переориентировались на владельца платежной системы Chronopay Павла Врублевского. Дмитрий Артимович утверждает, что в то время вокруг Врублевского образовалась «тусовка хакеров».


Гусев, который ранее также был совладельцем Chronopay, говорит, что Врублевский также имел отношение к проектам анонимного интернет-банка Fethard, партнерской программе по продаже фармацевтических препаратов Rx-Promotion (конкурент Glavmed), форуму для создателей сайтов для взрослых Crutop, партнерской программе по распространению порнографии Pornocruto и другие. Врублевский связь с данными проектами отрицал.

Как происходила DDoS-атака против «Аэрофлота»

В своих видео Дмитрий Артимович заявляет, что летом 2010 г. ему с братом неожиданно поручили использовать имевшийся у них ботнет для DDoS-атаки на платежную систему «Ассист», обслуживавшую тогда «Аэрофлот». Поручение поступило от сотрудника службы безопасности Chronopay и бывшего сотрудника Центра информационной безопасности ФСБ Максима Пермякова.


Атака началась 15 июля 2010 г. и сразу стала успешной, так как «Ассист» использовал слабый канал связи – 10 Мбит/с. Затем «Ассист» защититься с помощью услуг «Лаборатории Касперского».


Тогда Артимовичи усилили атаку и стали закупать ботов для установки на их компьютеры Topol-Mailer. Для этого Пермяков через систему электронных платежей Webmoney им $20 тыс.


Атака продолжалась с перерывами две недели до 22 июля, рассказывает Артимович, вследствие чего на сайте «Аэрофлота» была невозможна оплата электронных билетов. После этого «Аэрофлот» расторг контракт с банком «ВТБ-24», отвечавшим за прием платежей на сайте авиакомпании («Ассист» был его субпорядчиком) и подал иск к банку на сумму 140 млн руб. Данный иск был отклонен.

В чем был мотив заказчика DDoS-атаки «Аэрофлота»

Дмитрий Артимович говорит, что истинной причиной атаки был конфликт Врублевского с Сергеем Михайловым, занимавшим тогда пост замглавы ЦИБ ФСБ. Врублевский в своих первых показаниях по делу о DDoS-атаке против «Аэрофлота» также говорил о конфликте с Михайловым. Сам Михайлов на суде по данному делу и рассказывал, что он давно был знаком с Врублевским, которому удалось сплотить вокруг себя большое число хакеров.


Артимович обращает внимание на то обстоятельство, что в то время американский журналист Брайан Кребс (Brian Krebs) активно публиковал расследования о российских хакерах, раскрывая конфиденциальные сведения о них, например, номера кошельков в системе Webmoney. В числе прочего Кребс о том, как Chronopay принимает платежи за фальшивый антивирус для MacOS – Mac Defender.


Артимович утверждает, что «серые клиенты» Chronopay были недовольны такими утечками. Служба безопасности Chronopay якобы начала собственное расследование и выяснила, что за утечками Кребсу стоит Сергей Михайлов.


Из-за них Врублевский, как полагает Дмитрий Артимович, и решил отомстить Сергею Михайлову, организовав атаку против «Аэрофлота» и показав, что ФСБ не способна защитить крупнейшего национального авиаперевозчика.

Арест хакеров и странное требование со стороны следователя ФСБ

Эффект для заказчиков атаки был прямо противоположным. Весной 2011 г. ФСБ возбудило уголовное дело о DDoS-атаке на «Аэрофлот». После этого был арестован Игорь Артимович, который дал признательные показания. Дмитрий Артимович полагает, что его брата специально «обработали» в СИЗО «Лефортово», чтобы он дал показания против всех участников DDoS-атаки.


После этого Врублевский, находившийся на отдыхе на Мальдивах вернулся в Россию и был задержан в аэропорту. Затем он дал признательные показания. Арестован был и Максим Пермяков, также признавший свое участие в атаке. Дмитрий Артимович на тот момент находился в Таиланде. Он принял решение вернуться в Россию и признать свое участие в атаке.


Дмитрий Артимович не был помещен под стражу, а к концу 2011 г. все фигуранты данного дела вышли на свободу. Дмитрий Артимович также утверждает, что его брат Игорь предложил ему сменить их партнера по фармацевтическому бизнесу и вместо Павла Врублевского отдавать половину прибыли следователю ФСБ Сергею Дадинскому, который вел их дело.


Артимович утверждает, что и сам Дадинский делал ему такое предложение, специально устроив встречу за пределами следственного отделения ФСБ и придя туда с аппаратурой для защиты от прослушки. Когда же Артимович отказался, следователь якобы начал издеваться над ним: вызывал на допрос к семи часам, а как только обвиняемый приезжал к следственному отделу, сразу его отпускал.


Осенью 2012 г. в Тушинском районном суде Москвы начался процесс над обвиняемыми. Врублевский и братья Артимовичи отказались от признательных показаний, из-за чего процесс затянулся почти на год. Летом 2013 г. суд признал всех четырех обвиняемых виновными в совершении DDoS-атаки против «Аэрофлота». Врублевский и братья Артимовичи получили каждый по 2,5 года в колонии общего режима. Пермяков, как фигурант, не отказавшийся от признательных показаний, получил аналогичный срок условно.


Врублевский и братья Артимовичи обжаловали этот приговор в Мосгорсуде, вновь признав свое участие в DDoS-атаке. Суд внес изменения в приговор, изменив колонию общего режима на колонию-поселение. Кроме того, братья Артимовичи были освобождены из под стражи с обязательством самостоятельного этапирования в колонию.


Дмитрий Артимович вслед за Павлом Врублевским отбыли в колонию в Рязанской области и оба вышли на свободу в рамках процедур условно-досрочного освобождения. Игорь Артимович в колонию не поехал и был объявлен в розыск.


После освобождения Дмитрий Артимович некоторое время проработал топ-менеджером Chronopay. Но затем, из-за ссоры с Врубевским, покинул компанию и у Chronopay 2 млн руб.

Арест Сергея Михайлова по делу о госизмене

Более драматично сложилась судьба тех, кто расследовал дело о DDoS-атаке «Аэрофлота». В конце 2016 г. Сергей Михайлов вместе со своим подчиненным Дмитрием Докучаевым были арестованы по обвинению в госизмене. По этому же делу были арестованы специалист по расследованию кибер-преступлений «Лаборатории Касперского», бывший оперативник Управления «К» МВД Руслан Стоянов и предприниматель Григорий Фомченков.


Официально суть обвинений не известна. Но Павел Врублевский прямо говорил, что именно он передал правоохранительным органам информацию о преступлениях указанной группы лиц. По данным газеты «Коммерсант», обвинение заключается в незаконной передаче сотруднице американской компании I-Defenсe оперативной справки относительно Врублевского якобы связанной со спецслужбами США Кимберли Зенц (Kimberly Zentz).


В 2019 г. суд признал всех обвиняемых виновными и приговорил их к длительным срокам заключения. Михайлов 22 года тюрьмы, Стоянов – 14 лет, Фомченков – семь лет, Докучаев – шесть лет.

Связь ареста Михайлова и выборов в США

Арест Михайлова произошел после того, как президентом США был избран кандидат от Республиканской партии Дональд Трамп (Donald Trump). Демократическая партия обвинила российские власти во вмешательстве в выборе и использовании хакеров для взлома переписки данной партии. В связи с этим в США началось расследование под руководством прокурора Роберта Мюллера (Robert Mueller).


Артимович говорит, что, по его сведениям, российские власти получили информацию о противоправных действиях группы Михайлова по дипломатическим каналам. Источникам данных, по версии Артимовича, были новые власти США, которые опасались вброса через Михайлова доказательств относительно вмешательства российских хакеров в американские выборы.

Позиция Павла Врублевского

Павел Врублевский не стал комментировать утверждения Дмитрия Артимовича. Однако недавно он дал интервью The Record, в котором также подтвердил, что целью атаки на «Аэрофлот» «была ложность и бесчувственность Михайлова».


По мнению Врублевского, Михайлов нарушал закон, передавая иностранным властям имевшиеся в его распоряжении материалы, что можно было делать только по каналам Генпрокуратуры. ФСБ к моменту публикации этого материала не ответила на запрос CNews относительно новых обстоятельств DDoS-атаки против «Аэрофлота».




 
Сверху Снизу