Анализ трафика с помощью утилит Ufasoft Sniffer и WireShark позволил перехватить логин и пароль к данной панели, после чего оперативники зашли туда и заподозрили, что Topol-Mailer является бот-сетью. В частности, в панели была статистика о зараженных компьютерах и их IP-адресах. Также оперативники скачали оттуда образец программы-загрузчика (crypted.exe), устанавливаемой на компьютеры жертв.
Зато Михайлов фактически согласился с основным доводом защиты — то, что инкриминируемая обвиняемым статья 272 УК (неправомерный доступ к информации) не соотносится с DDoS-атакой. «Конечно, DDoS-атака — это преступление, но, к сожалению, законодатели пока так и не учли наши предложения относительно введения отдельного наказания за данный вид деяний, — заявил Сергей Михайлов. — Что касается неправомерного доступа к информации, то при DDoS-атаке он происходит только к зараженным компьютерам, а не к атакуемым серверам».
Обычно организаторов DDoS-атак судят по статье 273 (создание и распространение вредоносных программ), однако в случае с атакой на «Аэрофлот» обвинение по данной статье утратило срок давности. Впрочем, прокурор Сергей Котов возразил, что, согласно Закону «Об информации, информационных технологиях и защите информации», сама возможность неправомерного доступа к информации является незаконной.
Источник: https://www.cnews.ru/news/top/fsb_raskryla_tajny_
sledstviya_po_ddosatake
Красивую версию подготовил Михайлов. Интересно, что мы так и не увидели этих самых дампов, которые оперативники исследовали с помощью программ Ufasoft Sniffer и WireShark. А были ли они?
31 июля 2013 года прошло последнее заседание суда, на котором судья Лунина зачитала приговор. Зал был забит людьми. Пришли ребята с работы, журналисты. В этот день на приговор меня подвозил на машине Руслан. Настроение с утра было, мягко говоря, хреновым.
Зачитывая обвинительный приговор, Лунина не дрогнула. «Приговариваю к двум с половиной годам колонии общего режима», — доносились до сознания обрывки слов. Я стоял, как в трансе.
У меня был куплен билет для Синчай на Thai Airways из Бангкока в Москву. Она должна была прилететь через несколько дней.
Охраняемой информацией судья признала программное обепечение Assist, а вот как мы получили к ней доступ, она умолчала. Наверное, так и не придумала.
Я отдал сумку с телефоном и кошельком Руслану. Ко мне подошли приставы и надели наручники. Нас всех потащили из зала судебного заседения. Коридор, лестиница, железные двери. Меня посадили в небольшую комнатку, буквально метр на метр («стакан»), сняли наручники и закрыли дверь.
«Этого не может быть! Я хочу домой» — крутилось в голове. На глазах выступили слезы.
Брата и Врублевского посадили в соседние «стаканы». Врублевский весело переговаривался с приставами. Мне же весело не было.
Так мы просидели несколько часов.
Дверь открылась, на меня надели наручники и потащили к автозаку. Там всех посадили вместе. Врублевский ободряюще сказал: «Я так и думал, что вас тоже закроют». Мы ехали, ехали куда-то.
Машина остановилась. Нас потащили на выход. Это была тюрьма.
Дальше по коридору открывались какие-то решетки, какие-то двери, нас оформляли, нас загнали в душевую, потом в общую распределительную камеру. Не знаю, сколько я там просидел. Полагаю, уже под утро меня перевели в камеру 404. Нас всех рассадили в разные камеры.
Максиму Пермякову дали два года условно.
В 2010 году после атаки на платежный шлюз Assist мы перевели мощность DDoS’а на Glavmed и Spam It. Если Glavmed располагался на обычном белом хостинге и найти для него мощную анти-DDoS защиту было вполне реально, то по Spam It’у Desp и SaintD несли существенные убытки. Нами же двигало желание мести.
Как я полагаю, нас слил своим кураторам в ФСБ Гусев. В реквизитах для выплат Glavmed’а стоял кошелек, зарегистрированный на моего брата. По нему без особых усилий определили IP-адрес и, вероятно, поставили канал на СОРМ. Тем самым перехватили ряд паролей — от панели управления ботом, от выплат Spampromo (помните, кто-то хотел украсть $90 000). Почему «вероятно»? Потому что в справках путаница, снимают одни пароли, заходят на панель управления под другими.
Передали доступы в Group-IB. Те посмотрели, скачали статистику загрузок. Так как загрузки, по сути, у многих ботоводов шли из одного источника (напрямую или через реселлеров), то доказательная база в виде совпадения 30 % IP-адресов из загрузок и из ботов, атаковавших платежный шлюз «Аэрофлота», явно слабая. Group-IB сделала скриншоты и скачала лоадер, который потом преподнесли в деле как добытый оперативниками во время проведения ОРМ. Так все это дело благополучно и забросили.
Через какое-то время Врублевский проявляет чрезмерную активность по выявлению шпиона в рядах ЦИБ ФСБ. Для Серёжи Михайлова ситуация становится опасная. Более того, одновременно против Гусева возбуждают уголовное дело (кто бы мог возбудить это дело?).
