Например, он включался на следующий день после ареста брата. Ноутбук был зашифрован PGP Disk и требовал пароля для загрузки.

Но самая жесть была, когда мы исследовали основное доказательство по делу — исполняемый файл бота (лоадер), который был получен якобы во время проведения ОРМ. Я предложил открыть файл в программе PETools, чтобы увидеть дату создания файла в заголовке. И эта дата оказалась 17 сентября 2010 года, а записан файл был на диск 22 сентября 2010 года. При этом файл должны были передать на экспертизу 8 сентября. А сама экспертиза проходила с 10-го по 27 сентября 2010 года. Получалось, что файл был создан и записан во время проведения экспертизы в Group-IB[58].

Только судью это нисколько не остановило. Она отклоняла все ходатайства об исключении вещественных доказательств.

После осмотра доказательств суд перешел к допросу обвинямых — нас. Мы (Врублевский, я и мой брат) отказались от надиктованных признаний, а суд их зачитывал. Котов был явно доволен собой.

11 июля 2013 года на суд в качестве свидетеля пришел человек, кто и инициировал это дело, — сам Серёжа Михайлов, руководитель оперативного подразделения ЦИБ ФСБ.

Отвечая на вопрос главного обвиняемого — владельца платежной системы ChronoPay Павла Врублевского, — Михайлов подтвердил, что они знакомы друг с другом примерно с 2007 года. При этом отношения между ними носили как профессиональный, так и личный характер.

«Компания ChronoPay представляла для нас интерес, а Врублевский — умный и уважаемый мною человек, который смог сплотить вокруг себя ”хакеров“ (под ними мы понимаем как хороших, так и плохих людей)», — пояснил Михайлов.

Отвечая на вопрос судьи Натальи Луниной, Михайлов отметил, что «по-человечески ему жалко, что Врублевский такое допустил», но в то же время заверил, что дело расследовалось им беспристрастно.

ФСБ занялось этим делом в связи с тем, что пострадавшим оказалась госкомпания — «Аэрофлот». Михайлов рассказал вкратце о том, как происходило расследование этого преступления. Сначала никаких подозрений в отношении Врублевского и других обвиняемых не было, но Врублевский проходил по другим оперативным делам. В то же время оперативные источники из окружения предпринимателя рассказали ФСБ о номерах кошельков WebMoney, между которыми, предположительно, могли передаваться деньги за оплату атаки.

«Кошелек отправителя был анонимный, но ранее он проходил в других делах как кошелек ChronoPay, в частности, с него осуществлялась оплата некоему Engel’у за продажу в интернете фармацевтических препаратов», — вспоминает Михайлов.

Владельца кошелька-получателя удалось установить: это был петербургский программист Игорь Артимович. Во время атаки на «Аэрофлот» он получал порядка $500–1000 в день.

Через оперативные возможности в системе WebMoney удалось установить IP-адрес, с которого осуществлялись заходы в данный кошелек. Этот адрес числился за интернет-провайдером «Национальные кабельные сети» (НКС), куда ФСБ и направило запрос относительно данных пользователя адреса. Затем, получив санкцию Мосгорсуда (на тот момент братья Артимовичи снимали квартиру в столице), начали мониторинг интернет-канала подозреваемых. Это позволило выявить обращения к адресу американского сервера, на котором была обнаружена панель управления ПО Topol-Mailer.

Анализ трафика с помощью утилит Ufasoft Sniffer и WireShark позволил перехватить логин и пароль к данной панели, после чего оперативники зашли туда и заподозрили, что Topol-Mailer является бот-сетью. В частности, в панели была статистика о зараженных компьютерах и их IP-адресах. Также оперативники скачали оттуда образец программы-загрузчика (crypted.exe), устанавливаемой на компьютеры жертв.

Зато Михайлов фактически согласился с основным доводом защиты — то, что инкриминируемая обвиняемым статья 272 УК (неправомерный доступ к информации) не соотносится с DDoS-атакой. «Конечно, DDoS-атака — это преступление, но, к сожалению, законодатели пока так и не учли наши предложения относительно введения отдельного наказания за данный вид деяний, — заявил Сергей Михайлов. — Что касается неправомерного доступа к информации, то при DDoS-атаке он происходит только к зараженным компьютерам, а не к атакуемым серверам».

Обычно организаторов DDoS-атак судят по статье 273 (создание и распространение вредоносных программ), однако в случае с атакой на «Аэрофлот» обвинение по данной статье утратило срок давности. Впрочем, прокурор Сергей Котов возразил, что, согласно Закону «Об информации, информационных технологиях и защите информации», сама возможность неправомерного доступа к информации является незаконной.

Источник: https://www.cnews.ru/news/top/fsb_raskryla_tajny_

sledstviya_po_ddosatake

Красивую версию подготовил Михайлов. Интересно, что мы так и не увидели этих самых дампов, которые оперативники исследовали с помощью программ Ufasoft Sniffer и WireShark. А были ли они? Приговор

31 июля 2013 года прошло последнее заседание суда, на котором судья Лунина зачитала приговор. Зал был забит людьми. Пришли ребята с работы, журналисты. В этот день на приговор меня подвозил на машине Руслан. Настроение с утра было, мягко говоря, хреновым.

Зачитывая обвинительный приговор, Лунина не дрогнула. «Приговариваю к двум с половиной годам колонии общего режима», — доносились до сознания обрывки слов. Я стоял, как в трансе.

У меня был куплен билет для Синчай на Thai Airways из Бангкока в Москву. Она должна была прилететь через несколько дней.

Охраняемой информацией судья признала программное обепечение Assist, а вот как мы получили к ней доступ, она умолчала. Наверное, так и не придумала.

Я отдал сумку с телефоном и кошельком Руслану. Ко мне подошли приставы и надели наручники. Нас всех потащили из зала судебного заседения. Коридор, лестиница, железные двери. Меня посадили в небольшую комнатку, буквально метр на метр («стакан»), сняли наручники и закрыли дверь.

«Этого не может быть! Я хочу домой» — крутилось в голове. На глазах выступили слезы.

Брата и Врублевского посадили в соседние «стаканы». Врублевский весело переговаривался с приставами. Мне же весело не было.

Так мы просидели несколько часов.

Дверь открылась, на меня надели наручники и потащили к автозаку. Там всех посадили вместе. Врублевский ободряюще сказал: «Я так и думал, что вас тоже закроют». Мы ехали, ехали куда-то.

Машина остановилась. Нас потащили на выход. Это была тюрьма.

Дальше по коридору открывались какие-то решетки, какие-то двери, нас оформляли, нас загнали в душевую, потом в общую распределительную камеру. Не знаю, сколько я там просидел. Полагаю, уже под утро меня перевели в камеру 404. Нас всех рассадили в разные камеры.

Максиму Пермякову дали два года условно. Моя версия событий

В 2010 году после атаки на платежный шлюз Assist мы перевели мощность DDoS’а на Glavmed и Spam It. Если Glavmed располагался на обычном белом хостинге и найти для него мощную анти-DDoS защиту было вполне реально, то по Spam It’у Desp и SaintD несли существенные убытки. Нами же двигало желание мести.

Как я полагаю, нас слил своим кураторам в ФСБ Гусев. В реквизитах для выплат Glavmed’а стоял кошелек, зарегистрированный на моего