Microsoft опубликовала отчет о результатах исследования 20-ти жестких дисков, захваченных в ходе ликвидации Rustock.
Напомним, что захват был произведен в соответствии с судебным приказом о временном прекращении деятельности, связанной с функционированием этого ботнета. По словам экспертов, текстовый файл, обнаруженный на одном из этих дисков, содержал свыше 427 тыс. адресов электронной почты. В логах сохранились записи о посещениях сайтов mail.ru и freesoft.ru. Нашлись и доказательства причастности Rustock к спамерской деятельности, а также несколько электронных адресов, которые владельцы ботнета использовали для внешних контактов. Отдельный сервер служил ботоводам плацдармом для проведения кибератак в российском диапазоне IP-адресов, остальные использовались как прокси в рамках проекта TOR, обеспечивающего анонимный доступ к Сети.
Microsoft поделилась своими находками с заинтересованными сторонами: регистраторами доменов, хостинг-провайдерами, почтовыми службами. В ходе переписки выяснилось, что операторы Rustock расплачивались за все эти услуги с помощью краденых кредиток. Экспертам удалось установить номер счета Webmoney, с которого вносилась арендная плата за серверы, приобщенные к командной инфраструктуре ботнета. Официальный запрос, направленный российским владельцам Webmoney, помог выявить имя держателя счета. Им оказался некий Владимир Александрович Шергин, проживающий рядом с МКАД, в Химках. Microsoft намерена продолжить расследование в этом направлении, дабы развеять сомнения в реальности данного персонажа и его причастности к деятельности Rustock.
Обнаружена база адресов, которые использовал Rustock