Microsoft внесла изменения в исковые претензии к ботоводам Kelihos, добавив свидетельства против еще одного ответчика ― россиянина Андрея Сабельникова.
По признанию экспертов, они вышли на это имя в результате анализа вредоносного кода. Новые находки позволили им заключить, что Сабельников принимал участие в создании зловреда и ботнета на его основе. Россиянин также регистрировал адреса, которые впоследствии использовались для управления Kelihos, в том числе 3,7 тыс. поддоменов в зоне cz.cc, вверенной dotFREE Group. Эта компания и ее владелец, Доминик Александер Пьятти (Dominique Alexander Piatti), фигурировали в качестве ответчиков в первоначальном варианте искового заявления Microsoft, однако при более тщательном расследовании Пьятти оказался обычным поставщиком веб-услуг, и обвинения с него были сняты.
Появление нового имени, которое Microsoft связывает с деятельностью Kelihos, породило волну журналистских расследований. В обновленном иске указано, что Сабельников ― выпускник питерского университета по специальности «вычислительные системы и программирование». В настоящее время он живет в Санкт-Петербурге и работает как фрилансер в консалтинговой компании, занимающейся также разработкой софта, а ранее трудился в штате некоего поставщика защитных решений. Небезызвестный Брайан Кребс изучил профиль Сабельникова на LinkedIn и установил, что нынешним местом его работы является Teknavo, создающая приложения для финансовых организаций, а прежним ― Agnitum. Репортеры CNews дополнили этот послужной список еще двумя именами: R-Tools и Returnil, однако отметили, что Сабельников уже удалил с LinkedIn все данные о своей трудовой карьере.
Ботнет Kelihos, он же Hlux, был обезврежен прошлой осенью стараниями Microsoft, ЛК и Kyrus. Злоумышленники использовали его для рассылки спама, кражи пользовательских данных, проведения DDoS-атак и многих других видов криминальной деятельности. Подменив управляющий центр ботнета, ЛК насчитала в его составе свыше 49 тыс. уникальных IP-адресов. В настоящее время Kelihos неактивен, но истребить всю инфекцию на местах пока не удалось.
«Российский след» Kelihos