Site icon UiP

Как ФБР обезвредило «короля спама» и уничтожило его ботнет

botnet

Власти США добиваются экстрадиции российского «короля спама» Петра Левашова, создателя ботнета Kelihos. Инсайдеры подозревают Левашова в сотрудничестве с ФБР.

Один из самых известных спамеров мира сделал элементарную ошибку. Игнорирование простых правил кибербезопасности позволило ФБР найти и арестовать Петра Левашова. Человек, известный многим как «король спама» или как «Петр Севера» (Severa), создатель и администратор крупнейшего ботнета Kelihos, обвиняемый также в создании ботенов Hilux и Waledac 2.0, был арестован в Испании во время отпуска с семьей. Словили спамера на элементарной ошибке – он использовал те же регистрационные данные для своей криминальной деятельности и для своего аккаунта в iTunes.

Спамер из топ-10

Ботнеты Левашова состояли из сотен тысяч зараженных компьютеров, которые собирали данные электронной почты, распространяли спам, крали данные банковских карт и распространяли через интернет различные вредоносные программы. По данным спецслужб, деятельность Левашова привела к заражению около 100 тыс. компьютеров во всем мире, около 10% из них находились в США. Левашов входил в топ-10 самых разыскиваемых спамеров мира по рейтингу Spamhouse.

Главный продукт Левашова, ботнет Kelihos рассылал миллионы сообщений, рекламирующих полулегальные товары. Среди них – секс-товары, нелегальные лекарственные препараты, подделки брендовых товаров. При этом цена рассылки спама для заказчиков составляла $300 за миллион сообщений. Среди предложений, содержащихся в спам-письмах, были и сообщения о найме сотрудников для участия в этом незаконном бизнесе, например, людей, которые помогали бы отмывать украденные деньги и товары. По данным Министерства юстиции, Левашов также предлагал услуги фишинг-атак по цене от $500 за миллион разосланных сообщений.

Арест Левашова сопровождался операцией по уничтожению Kelihos, в ходе которой были ликвидированы и три домена, используемые для его работы — gorodkoff.com, goloduha.info и combach.com. Ботнет был уничтожен с помощью процесса синкхолинга (sinkholing) – перенаправления трафика с зараженных компьютеров на новые сервера, контролируемые властями и ShadowServer Foundation, волонтерским объединением добровольцев по борьбе с киберпреступностью. Синкхолинг означает, что после перенаправления трафика на новые сервера ботнет подключился к другому управляющему центру, а его создатели потеряли его управление.

Повальный взлом и спецслужбы

Арест Левашова и атака на его ботнет означает очередную победу правительства США в войне против российской агрессии в киберпространстве. Совсем недавно Департамент Юстиции обвинил российских хакеров во взломе базы данных пользователей Yahoo. 

Прекращение деятельности Kelihos может ознаменовать конец одной из самых мощных спам-сетей в интернете, глобальной сети инфицированных компьютеров, которую было очень трудно уничтожить. Эта сеть восстанавливалась множество раз, росла и развивалась даже тогда, когда ее основатель перестал управлять процессом. Тем не менее, потоки нежелательной электронной почты, реклама поддельной “виагры” и развлечений для взрослых, и, в худшем случае, огромное количество фишинговых писем, – все это работало “как часы”, не снижая обороты.

Кейс с Петром Левашовым –  один из первых случаев, когда американские власти использовали статью 41 уголовно-процессуального законодательства США, которая дает право на получение на законных основаниях ордера на обыск и взлом любого компьютеро в мире, не только в США.

Ходят слухи, что Левашов может быть связан с российскими спецслужбами. Причем в самом факте этого сотрудничества нет ничего удивительного. Например, основателя ботнета GameOver Zeus Евгения Богачева подозревают в помощи украинской разведке во время вторжения России в Крым. Совсем недавно, в марте этого года доказана связь еще одного российского хакера, Алексея Белана с сотрудниками ФСБ. Можно вспомнить российских хакеров, мешающих проводить выборы президента США и взламывающих почту демократической партии. На фоне всего этого такие слухи выглядят довольно правдиво.

Цифровой след

Согласно судебным документам, следователи наблюдали за  Левашовым несколько месяцев перед задержанием. Не исключено, что Испания была выбрана для ареста еще и потому, что эта страна – сильный союзник США по борьбе с киберпреступностью.

Левашов уже давно был объектом охоты правоохранительных органов США. Первое обвинение ему было выдвинуто более чем десять лет назад в Мичигане за емейл-мошенничество и жульничество с акциями. Позже, в 2009 году,  обвинители из Вашингтона снова предъявили ему обвинение в компьютерном мошенничестве, обнаружив его связь с ботнетом Storm, предшественником Kelihos.

Чтобы найти и идентифицировать Левашова, следователи связали преступника с  Kelihos путем кропотливого анализа соответствующих IP-адресов и учетных данных на таких сайтах, как Foursquare, Apple, и Google.

Пока остается открытым вопрос его экстрадиции из Испании в США. В то время как американские правоохранительные органы сравнительно легко получают разрешение иностранных правительств на арест подозреваемых российских преступников за границей, возврат этих подозреваемых в США часто бывает менее успешен. Кейс с Кимом Доткомом, да и другими подозреваемыми тому пример.

Заглавная иллюстрация: Dan Svetlichnyy
Exit mobile version