Теневой бизнес понес тяжелую утрату

В США выдвинуты обвинения против шестерых эстонцев и россиянина, практиковавших мошеннические методы получения прибыли средствами интернета. Обезврежен также крупный ботнет, с помощью которого подельники искусственно вздували трафик на сайтах рекламодателей и заработали на этой схеме не менее 14 млн. долл..

Согласно материалам следствия, Владимир Цацин, Тимур Герасименко, Дмитрий Егоров, Валерий Алексеев, Константин Полтев, Антон Иванов и Андрей Тааме учредили ряд фиктивных компаний, которые позиционировались как участники рекламной сети. Через них заключались договоры на размещение рекламных ссылок, ведущих на сайты рекламодателей. Для накрутки кликов по этим ссылкам, приносящих посредникам барыши, соучастники подняли ряд DNS-серверов и создали ботнет на основе троянца, скрытно изменяющего DNS-настройки на зараженном компьютере.

Вредоносные программы DNS Changer чаще всего распространялись в Сети под видом «кодека», якобы необходимого для просмотра видеоконтента (приманкой обычно служил порноролик). По оценке ФБР, злоумышленникам за несколько лет удалось заразить свыше 4 млн. ПК, размещенных на территории 100 стран. В США число жертв семейства DNS Changer превышает 0,5 млн., включая NASA, учебные заведения, коммерческие и общественные организации. Троянец ориентирован, в основном, на платформу Windows, однако отдельные его варианты совместимы с Mac OS. После изменения DNS-настроек все запросы с зараженной машины перенаправляются на один из DNS-серверов, контролируемых криминальной группой. В результате вместо искомого сайта жертва попадает на рекламную площадку, и каждый такой визит умножает доходы организаторов мошеннической схемы. Зловред также препятствует обновлению ОС и антивирусных баз на зараженной машине, создавая благоприятные условия для новых инфекций.

Прикрытием аферистам служила тартусская компания Rove Digital, учрежденная ими в 2005 году. По свидетельству Trend Micro, ее совладельцы наплодили также ряд дочерних предприятий разного профиля в Европе и США. Одно из них, Esthost, занималось перепродажей хостинг-услуг и было неоднократно замечено в пособничестве киберкриминалу. Одиозный хостер прекратил свое существование в 2008 году, когда калифорнийский датацентр Atrivo/Intercage был под давлением общественности отключен от Сети. Примерно в то же время другая «дочка» Rove Digital, компания-регистратор EstDomains, лишилась аккредитации в ICANN. Ее услугами широко пользовались спамеры, фишеры, ботоводы, распространители зловредов и детского порно, однако основанием для отзыва аккредитации послужила судимость президента компании Владимира Цацина.

По свидетельству журналиста Брайана Кребса, Rove Digital является одним из ключевых инвесторов процессингового центра ChronoPay, владелец которого Павел Врублевский долго поддерживал с Цациным приятельские отношения. Неразрывная связь Rove Digital с сетевым андеграундом обеспечила ей постоянную прописку в списке ROKSO Spamhaus http://www.spamhaus.org/statistics/spammers.lasso. Более подробно c «деловыми операциями» компании и ее источниками нетрудовых доходов можно ознакомиться на сайте Trend Micro.

Участники криминальной группировки, попавшие под прицел американского правосудия, обвиняются в преступном сговоре, мошенничестве с использованием проводной связи, неправомерном доступе к чужим ресурсам. Против Цацина также выдвинуты обвинения в крупных финансовых махинациях и отмывании денег. Самый суровый срок по отдельным статьям составляет 30 лет. Шестеро эстонцев уже задержаны местной полицией и ожидают экстрадиции. Четверым из них предъявлены обвинения на родине. Россиянин Тааме пока не пойман.

Американские власти заморозили ряд банковских счетов, принадлежащих ответчикам, и с разрешения федерального судьи отключили свыше 100 командных серверов DNS Changer, размещенных в нью-йоркском и чикагском датацентрах. DNS-серверы, к которым привязывались зараженные компьютеры, были заменены на легальные, чтобы жертвы инфекции не потеряли связь с интернетом. Поддержка альтернативной DNS-связи поручена некоммерческой организации Internet Systems Consortium (ISC), которая будет контролировать работу подставных DNS-серверов в течение 4 месяцев. ФБР планирует наладить оповещение соответствующих интернет-провайдеров об инфекции, а пока просит при подозрении на заражение обращаться на сайт fbi.gov.

Расследование по данному делу было начато 2 года назад. Кроме ФБР, в нем приняли участие NASA, правоохранительные органы Эстонии, голландская киберполиция, Trend Micro, ISC, Spamhaus, Team Cymru, Neustar, Mandiant, университетские исследователи и специализированные группы экспертов.