Ботмастер, как тебя зовут?

Известный журналист Брайан Кребс попытался выяснить реальные имена ботоводов Cutwail и Srizbi, причастных к рассылке спама в рамках партнерской программы SpamIt.

Cutwail, он же Pushdo, на протяжении ряда лет слыл одним из крупнейших ботнетов, распространявших нелегитимную рекламу и вредоносные сообщения. Согласно статистике M86 Security, в настоящее время совокупный вклад разных версий Cutwail в спам-трафик не превышает 20%. По свидетельству Кребса, создателем столь прилежного генератора спама является некий знаток UNIX и специалист по информационной безопасности, скромно именующий себя «Google». Сотрудничать со SpamIt он начал в начале 2007 года, а до этого несколько лет занимался усовершенствованием своего ботнета, сдавая его в аренду спамерам по частям. Партнерство с владельцем Cutwail оказалось для SpamIt весьма выгодным предприятием: Google держал с десяток учетных записей и быстро превратился в главного добытчика, получая щедрые комиссионные за рассылку фармаспама и рекламы пиратского ПО.

Тесную взаимосвязь ботовода Cutwail и SpamIt подтверждают логи чат-бесед «Google» и администратора одиозной партнерки Дмитрия Ступина, обнаруженные при аресте последнего в связи с делом Гусева. Уголовное дело против Игоря Гусева, создателя и владельца SpamIt, было возбуждено осенью 2010 года, когда его детище уже прекратило свое существование.

В поисках реального имени владельца Cutwail Кребс обратился к записям WhoIs и WebMoney ― платежной системы, через которую SpamIt расплачивалась с партнерами. Сопоставление контактной информации, найденной в этих базах, позволило ему с некоторой долей уверенности определить, что в миру «Google» известен как Нечволод Дмитрий Сергеевич, обитатель московских Черемушек.

Серьезную конкуренцию Cutwail на ниве фармаспама одно время составлял ботнет Srizbi. Он появился на спам-арене весной 2007 года; зловред, взятый за основу ботоводом, был опознан экспертами как новая версия Reactor Mailer. Как оказалось, оператором данной программы является глава некоей компании Elphisoft, именующий себя SPM. По словам самого ботовода, доводкой Reactor Mailer занимались лучшие программисты СНГ. SPM тоже сдавал свой ботнет в аренду по частям и примкнул к SpamIt в 2007 году. Долгое время он выторговывал себе привилегии главного поставщика спамботов для новой клиентуры, мечтая когда-нибудь узреть свой логотип рядом с баннером SpamIt. В итоге администрация партнерки пошла на уступки амбициозному ботоводу, но вынуждена была отказаться от его услуг, когда Srizbi потерял центры управления при ликвидации веб-хостинга McColo.

Как показало расследование Кребса, SPM ― не кто иной, как владелец ООО «Геймпром» Филипп Погосов. Эта компания была основана в 2004 году и до сих пор с успехом занимается разработкой и продажей видеоигр для мобильных устройств. Погосов уже несколько лет живет в Таиланде. Потеряв ботнет, он целый год не общался с представителями SpamIt. В начале 2010 года SPM попытался восстановить связь со Ступиным, предложив ему использовать для рассылки фармаспама российские SMS-каналы. К счастью, этот замысел канул в Лету вместе с одиозной партнеркой.