- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 37д 1ч 29м
- Сделки
- 251
- Нарушения
- 0 / 0
7 декабря прошлого года компания Google заявила , что подала в суд на двух граждан РФ Дмитрия Старовикова и Александра Филлипова, предположительно являвшихся операторами Glupteba – ботнета, за последние десять лет заразившего миллионы устройств по всему миру. В тот же день сервис анонимизации AWM Proxy, в течение 14 лет сдававший в аренду киберпреступникам взломанные компьютеры, внезапно ушел в offline. ИБ-эксперты уже давно искали связь между Glupteba и AWM Proxy, и одно из последних исследований показывает, что основатель AWM Proxy – это один из тех двух россиян, на которых подала в суд Google.
AWM был запущен в 2008 году и быстро стал популярнейшим среди киберпреступников сервисом для маршрутизации вредоносного трафика через скомпрометированные устройства. В 2011 году сообщалось , что практически все сдаваемые внаем взломанные системы были заражены руткитом TDSS, устанавливающимся глубоко в Windows-ПК и сохраняющимся на нем даже после перезагрузки.
В марте 2011 году исследователи безопасности из ESET обнаружили, что TDSS использовался для развертывания на зараженных компьютерах руткита Glupteba.
В течение последних десяти лет Glupteba и AWM Proxy существенно выросли. Если в 2011 году AWM Proxy продавал доступ примерно к 24 тыс. взломанных ПК, то спустя десять лет он предлагал в 10 раз больше каждый день. В свою очередь, ботнет Glupteba охватил более миллиона устройств по всему миру.
Однако в декабре 2021 года Google сообщила, что приняла технические меры по отключению ботнета Glupteba и подала гражданский иск против двоих россиян, предположительно являющихся его операторами.
В тот же день AWM Proxy был отключен. Сервис в экстренном порядке уведомил своих пользователей о переезде на другой домен. Однако новые домены отключались один за другим.
Ранее полиция США, Германии, Нидерландов и Великобритании совместными усилиями отключили ботнет RSOCKS. Владельцем сервиса оказался Денис Емельянцев, которому также принадлежит крупнейший в мире форум спамеров.
Как сообщает журналист Брайан Кребс, вскоре после публикации истории Емельянцева с ним связался соучредитель ИБ-стартапа Spur.us Райли Килмер, который сообщил, что RSOCKS был отключен тогда же, когда Google предприняла шаги по отключению ботнета Glupteba.
По словам Килмера, каждый раз, когда его компания пыталась подсчитать, сколько систем продает RSOCKS, оказывалось, что каждый продаваемый RSOCKS интернет-адрес был также представлен в сети AWM Proxy. Кроме того, оба сервиса использовали практически идентичные API для отслеживания зараженных систем.
Операторы Glupteba использовали ботнет для отвлечения и кражи огромных сумм доходов от online-рекламы. Факты указывают на то, что все эти операции начались с включения кода Google Analytics в HTML-код оригинального AWM Proxy еще в 2008 году (UA-3816536).
ИБ-компания Constella Intelligence выявила десятки вариантов электронных адресов, использовавшихся Украинским в течение нескольких лет, в том числе с паролями 2222den и 2222DEN. Эти пароли использовались человеком, зарегистрировавшим более десятка электронных адресов на имя пользователя dennstr.
Дело начало проясняться, когда Кребс запустил в DomainTools поиск оригинальных записей WHOIS для web-site[.]ru. Домен оказался зарегистрирован на адрес lycefer@gmail[.]com. Этот адрес также использовался для регистрации доменов starovikov.ru и starovikov[.]com.
Кэшированная копия страницы контактов на сайте Starovikov[.]com показывает, что в 2008 году на ней была представлена персональная информация Дмитрия Старовикова.
Круг замкнулся. Согласно иску Google, Старовиков является одним из операторов ботнета Glupteba.
