В манхеттенской федеральной прокуратуре сообщили об очередном «киберпреступлении», которое в очередной раз поразило наших правоохранителей размахом действий и простотой исполнения. 9 ноября на пресс-конференции в прокуратуре ее глава Приит Бхарара и начальник нью-йоркского отделения ФБР Джанис Федарсик сообщили о предъявлении обвинения шести гражданам Эстонии с русскими фамилиями и одному россиянину с эстонской фамилией. 26-летний Антон Иванов, 28-летний Константин Полтев, 31-летние Владимир Цацин, Тимур Герасименко и Валерий Алексеев, а также 33-летний Дмитрий Егоров были арестованы в Тарту эстонской полицией и пограничниками. 31-летний Андрей Тааме пока в розыске, но наша прокуратура уже добивается экстрадиции в Нью-Йорк всех семерых. Операция, проведенная нашим ФБР совместно с зарубежными коллегами, получила кодовое название «Ghost Click» - «Призрачный Клик».
В пресс-релизе ФБР сказано, что обвиняемые «занимались обширной и сложной аферой в Интернете, заразив «зловредом» больше четырех миллионов компьютеров больше чем в ста странах мира». Слово «зловред» на жаргоне русскоязычных антивирусных служб означает вредоносную компьютерную программу «malware», что, в свою очередь, - сокращенное «malicious software» - «злонамеренное программное обеспечение». Далее в пресс-релизе говорится, что среди четырех миллионов зараженных «злыднем» компьютеров минимум полмиллиона находятся на территории США, а среди них - компьютеры федеральных служб, включая NASA (Национальное управление по аэронавтике и космонавтике) и налоговое управление IRS, а также компьютеры учебных заведений, некоммерческих организаций, бизнесов и частных лиц. Как подсчитали в ФБР, афера со «злыднем» принесла ее участникам примерно $14 млн.
«Обвиняемые придали новое значение термину «ложная реклама», - заявил журналистам Приит Бхарара. – Как предполагается, они были международными кибербандитами, которые захватывали миллионы компьютеров и перенаправляли их на сайты и рекламные объявления по своему выбору». Прокурор в очередной раз предупредил о новой опасности «международной киберугрозы» и отметил, что данное дело может быть лишь верхушкой айсберга. Вторя прокурору, Джанис Федарсик сказала, что для борьбы с этой угрозой необходимо сотрудничество международных правоохранителей и надежное партнерство частных и государственных служб. На пресс-конференции был и Пол Мартин, главный инспектор NASA, который повторил, что «эти аресты подчеркивают уровень сотрудничества, необходимый для противостояния растущей во всем мире угрозе киберпреступлений».
Расследование эстонской «кибераферы» началось в 2009 году и со временем, кроме наших спецслужб, к нему подключились полиция Эстонии и Нидерландов, а также специализированные группы экспертов разных стран. Если поделить $14 млн на 4 млн компьютеров, получится, что на каждом аферисты заработали по три с половиной доллара, что звучит смешно. Суть аферы состояла в том, что они заражали компьютеры вирусами, которые переправляли поисковые запросы на недорогие рекламные объявления, а также заменяли рекламу на сайтах, которые посещали пользователи. «Злыдень» сменял установку зараженного компьютера, что давало обвиняемым возможность проводить «цифровой захват» поисков в Интернете и перенаправлять компьютеры на определенные платные сайты и рекламные объявления. «Злыдень» также мешал устанавливать антивирусные программы, делая зараженные компьютеры беззащитными для других «злыдней».
Такие приемы в практике хакеров не новы, но семь обвиняемых в результате операции «Призрачный Клик» стали новаторами другой кибераферы. Реклама в Интернете ворочает миллиардами долларов. Владельцы сайтов размещают на своих страницах рекламные объявления, за что их называют «издателями» («publishers»). Таких «издателей» великое множество, и рекламодатели часто прибегают к помощи агентов-посредников, но в то же время отдельные «издатели» объединяются в группы (“Publisher Networks”), которым проще иметь дело с агентами. В предъявленном семи предполагаемым «кибербандитам» обвинении сказано, что с 2007 по октябрь 2011 года (они) владели и руководили различными “Publisher Networks”, которые выдавали себя за легальные компании в рекламной индустрии Интернета. Эти компании заключали с рекламными агентами договоры, по которым им платили в зависимости от количества посещений на страницы сайтов с рекламой. Обвиняемые мошеннически завышали этот показатель, что и приносило им доход.
В частности, владельцы зараженных «злыднем» компьютеров входили на сайт газеты Wall Street Journal и видели там рекламу кредитной карты American Express “Plum Card”. Заинтересовавшись, они «кликали» мышкой, но сигнал о посещении жульнически уходил подконтрольной жуликам компании“Fashion Girl LA”. На сайте Amazon.com можно было найти рекламу популярной компьютерной программы Windows Internet Explorer 8, но этот «клик» означал посещение рекламы неизвестной маркетинговой фирмы. На сайте кабельной спортивной телекомпании ESPN помещена реклама известного содового напитка «Dr. Pepper Ten», которую кибераферисты перенаправили на имя компании, торговавшей «таймшерами». Посетителя официального сайта Apple-iTunes «злыдень» уносил на сайт, вообще не связанный с компанией Apple Inc. Владелец зараженного компьютера выходил на сайт Netflix, Inc. – поставщика технологий для работы с потоковым мультимедиа, а его «клик» означал посещение рекламы какой-то “BudgetMatch”. Как именно кибераферисты нагрели руки на NASA, пресс-релиз ФБР не уточняет, но там сказано, что «клик» посетителей бесплатного сайта федеральной налоговой службы IRS переадресовывался на платный сайт крупной компании H&R Block, которая занимается подготовкой налоговых документов. И так далее, и тому подобное.
По данным следствия, полученную наживу «великолепная семерка» отмывала через различные компании, включая Rove Digital, которая была открыта в Тарту в 2005 году. Совладельцы Rove Digital зарегистрировали несколько дочерних корпораций различного профиля в Европе и Соединенных Штатах: Esthost, Estdomains, Cernel, UkrTelegroup и менее известные фиктивные фирмы. В основном эти компании занимались хостингом - услугами по предоставлению вычислительных мощностей для физического размещения информации на сервере, постоянно находящемся в Интернете. В ходе операции «Призрачный Клик» была приостановлена работа двух центров обработки данных в Нью-Йорке и Чикаго и отключена от сети Интернет инфраструктура управления (C&C), состоящая из более чем 100 серверов DNS Changer. Нью-йоркский центр, где работало несколько серверов, был зарегистрирован, как компания Pilosoft.
Компания Esthost не раз была замечена в связях с киберкриминалом, и ее услугами широко пользовались представители нового поколения преступников - «спамеры», «фишеры», «ботоводы», распространители «зловредов» и детского порно. Прикрыли Esthost в 2008 году, когда был отключен от Сети калифорнийский дата-центр Atrivo/Intercage. В феврале 2008 года президент и гендиректор EstDomains Владимир Цацин был признан судом города Тарту виновным в мошенничестве с банковскими картами, отмывании денег, подделке документов и других преступлениях, совершенных под прикрытием деятельности компании. Цацина приговорили к трем годам тюрьмы, а на посту гендиректора EstDomains его сменил Константин Полтев.
Сейчас оба проходят обвиняемыми по «американскому делу». В результате операции «Призрачный Клик» на территории США были изъяты компьютеры и заморожены банковские счета обвиняемых и их предполагаемых сообщников. Предъявленные обвинения в отмывании денег, мошенничестве с электронными переводами и вторжении в компьютерную сеть грозят лишением свободы на срок до 30 лет, но до решения суда обвиняемые считаются не виновными. К тому же на территории США их пока нет, и не известно, сколько займет процедура экстрадиции.
В пресс-релизе ФБР сказано, что обвиняемые «занимались обширной и сложной аферой в Интернете, заразив «зловредом» больше четырех миллионов компьютеров больше чем в ста странах мира». Слово «зловред» на жаргоне русскоязычных антивирусных служб означает вредоносную компьютерную программу «malware», что, в свою очередь, - сокращенное «malicious software» - «злонамеренное программное обеспечение». Далее в пресс-релизе говорится, что среди четырех миллионов зараженных «злыднем» компьютеров минимум полмиллиона находятся на территории США, а среди них - компьютеры федеральных служб, включая NASA (Национальное управление по аэронавтике и космонавтике) и налоговое управление IRS, а также компьютеры учебных заведений, некоммерческих организаций, бизнесов и частных лиц. Как подсчитали в ФБР, афера со «злыднем» принесла ее участникам примерно $14 млн.
«Обвиняемые придали новое значение термину «ложная реклама», - заявил журналистам Приит Бхарара. – Как предполагается, они были международными кибербандитами, которые захватывали миллионы компьютеров и перенаправляли их на сайты и рекламные объявления по своему выбору». Прокурор в очередной раз предупредил о новой опасности «международной киберугрозы» и отметил, что данное дело может быть лишь верхушкой айсберга. Вторя прокурору, Джанис Федарсик сказала, что для борьбы с этой угрозой необходимо сотрудничество международных правоохранителей и надежное партнерство частных и государственных служб. На пресс-конференции был и Пол Мартин, главный инспектор NASA, который повторил, что «эти аресты подчеркивают уровень сотрудничества, необходимый для противостояния растущей во всем мире угрозе киберпреступлений».
Расследование эстонской «кибераферы» началось в 2009 году и со временем, кроме наших спецслужб, к нему подключились полиция Эстонии и Нидерландов, а также специализированные группы экспертов разных стран. Если поделить $14 млн на 4 млн компьютеров, получится, что на каждом аферисты заработали по три с половиной доллара, что звучит смешно. Суть аферы состояла в том, что они заражали компьютеры вирусами, которые переправляли поисковые запросы на недорогие рекламные объявления, а также заменяли рекламу на сайтах, которые посещали пользователи. «Злыдень» сменял установку зараженного компьютера, что давало обвиняемым возможность проводить «цифровой захват» поисков в Интернете и перенаправлять компьютеры на определенные платные сайты и рекламные объявления. «Злыдень» также мешал устанавливать антивирусные программы, делая зараженные компьютеры беззащитными для других «злыдней».
Такие приемы в практике хакеров не новы, но семь обвиняемых в результате операции «Призрачный Клик» стали новаторами другой кибераферы. Реклама в Интернете ворочает миллиардами долларов. Владельцы сайтов размещают на своих страницах рекламные объявления, за что их называют «издателями» («publishers»). Таких «издателей» великое множество, и рекламодатели часто прибегают к помощи агентов-посредников, но в то же время отдельные «издатели» объединяются в группы (“Publisher Networks”), которым проще иметь дело с агентами. В предъявленном семи предполагаемым «кибербандитам» обвинении сказано, что с 2007 по октябрь 2011 года (они) владели и руководили различными “Publisher Networks”, которые выдавали себя за легальные компании в рекламной индустрии Интернета. Эти компании заключали с рекламными агентами договоры, по которым им платили в зависимости от количества посещений на страницы сайтов с рекламой. Обвиняемые мошеннически завышали этот показатель, что и приносило им доход.
В частности, владельцы зараженных «злыднем» компьютеров входили на сайт газеты Wall Street Journal и видели там рекламу кредитной карты American Express “Plum Card”. Заинтересовавшись, они «кликали» мышкой, но сигнал о посещении жульнически уходил подконтрольной жуликам компании“Fashion Girl LA”. На сайте Amazon.com можно было найти рекламу популярной компьютерной программы Windows Internet Explorer 8, но этот «клик» означал посещение рекламы неизвестной маркетинговой фирмы. На сайте кабельной спортивной телекомпании ESPN помещена реклама известного содового напитка «Dr. Pepper Ten», которую кибераферисты перенаправили на имя компании, торговавшей «таймшерами». Посетителя официального сайта Apple-iTunes «злыдень» уносил на сайт, вообще не связанный с компанией Apple Inc. Владелец зараженного компьютера выходил на сайт Netflix, Inc. – поставщика технологий для работы с потоковым мультимедиа, а его «клик» означал посещение рекламы какой-то “BudgetMatch”. Как именно кибераферисты нагрели руки на NASA, пресс-релиз ФБР не уточняет, но там сказано, что «клик» посетителей бесплатного сайта федеральной налоговой службы IRS переадресовывался на платный сайт крупной компании H&R Block, которая занимается подготовкой налоговых документов. И так далее, и тому подобное.
По данным следствия, полученную наживу «великолепная семерка» отмывала через различные компании, включая Rove Digital, которая была открыта в Тарту в 2005 году. Совладельцы Rove Digital зарегистрировали несколько дочерних корпораций различного профиля в Европе и Соединенных Штатах: Esthost, Estdomains, Cernel, UkrTelegroup и менее известные фиктивные фирмы. В основном эти компании занимались хостингом - услугами по предоставлению вычислительных мощностей для физического размещения информации на сервере, постоянно находящемся в Интернете. В ходе операции «Призрачный Клик» была приостановлена работа двух центров обработки данных в Нью-Йорке и Чикаго и отключена от сети Интернет инфраструктура управления (C&C), состоящая из более чем 100 серверов DNS Changer. Нью-йоркский центр, где работало несколько серверов, был зарегистрирован, как компания Pilosoft.
Компания Esthost не раз была замечена в связях с киберкриминалом, и ее услугами широко пользовались представители нового поколения преступников - «спамеры», «фишеры», «ботоводы», распространители «зловредов» и детского порно. Прикрыли Esthost в 2008 году, когда был отключен от Сети калифорнийский дата-центр Atrivo/Intercage. В феврале 2008 года президент и гендиректор EstDomains Владимир Цацин был признан судом города Тарту виновным в мошенничестве с банковскими картами, отмывании денег, подделке документов и других преступлениях, совершенных под прикрытием деятельности компании. Цацина приговорили к трем годам тюрьмы, а на посту гендиректора EstDomains его сменил Константин Полтев.
Сейчас оба проходят обвиняемыми по «американскому делу». В результате операции «Призрачный Клик» на территории США были изъяты компьютеры и заморожены банковские счета обвиняемых и их предполагаемых сообщников. Предъявленные обвинения в отмывании денег, мошенничестве с электронными переводами и вторжении в компьютерную сеть грозят лишением свободы на срок до 30 лет, но до решения суда обвиняемые считаются не виновными. К тому же на территории США их пока нет, и не известно, сколько займет процедура экстрадиции.
Обсуждения Русские хакеры ограбили американцев на $14 млн