В ходе судебных слушаний по делу о Ddos-атаке против «Аэрофлота» выяснилась сенсационная подробность. Файл с вирусом, лежащим в основе обвинения, был создан через два месяца после самой атаки. Причем время создания файла совпадает со временем проведения экспертизы над ним в компании Group-IB. В ходе слушаний в Тушинском районном суде Москвы по делу о Ddos-атаке против «Аэрофлота» был осуществлен осмотр «цифровых» доказательств по данному делу. Осмотр проводился одновременно двумя экспертами: Александром Андриишиным из компании ИВК (был приглашен стороной защиты) и Григорием Ануфриевым из «Лаборатории Касперского» (ЛК). Последний сотрудничал по данному делу с ФСБ еще на этапе следствия.
Напомним, 15-24 июля 2010 г. были атакованы сервера платежной системы «Ассист», в результате чего невозможно было купить электронные билеты на сайте ее крупнейшего клиента – «Аэрофлота». Через год ФСБ раскрыла данное преступление, арестовав всех предполагаемых фигурантов: заказчика атаки, владельца системы Chronopay (конкурент «Ассиста») Павла Врублевского, исполнителей атаки – братьев Дмитрия и Игоря Артимовичей, а также сотрудника службы безопасности Chronopay Максима Пермякова.
Слежку за Артимовичами ФСБ установила еще в августе 2010 г. Благодаря мониторингу используемого ими интернет-канала удалось установить факт захода на размещенную на удаленном сервере панель управления Topol-Mailer. Перехватив пароль от нее, оперативники пришли к выводу, что речь идет о панели управления бот-сетью, использующейся для рассылки спама и Ddos-атак. Там же был найден файл «crypted.exe», загружаемый на компьютеры жертв.
Оперативники записали на компакт-диск файл «crypted.ex» (переименование осуществили во избежание конфликта с антивирусным ПО), а также excel-файл со списком IP-адресов «ботов», атаковавших «Ассист». Этот диск вместе с паролем от Topol-Mailer из ФСБ был передан на экспертизу в Group-IB. Специалисты компании выяснили, что вышеупомянутый файл является вредоносной программой Rootkit.Win32.Tent.btt (по классификации «Антивируса Касперского»), а треть «ботов», атаковавших «Ассист», совпадает с адресами «ботов» данной сети.
В Москве продолжается суд над Павлом Врублевским
Через год начались аресты подозреваемых, а 9 июня 2011 г. в квартире Артимовичей в Ленинградской области был произведен обыск, в ходе которого изъяли два ноутбука Lenovo. Эти ноутбуки запаковали и отправили в Москву, где 27 июня они, в присутствии понятых, были вскрыты в Следственном управлении ФСБ. На ноутбуках, в частности, были найдены исходные коды, из которых, как затем установил Ануфриев из ЛК, и был собран файл «crypted.exe».
Несмотря на наличие признательных показаний, в ходе судебного процесса обвиняемые начали активно защищаться. В том числе защита настояла на проведении в суде экспертизы ноутбуков и вышеупомянутого компакт-диска. Анализ же содержимого компакт-диска привел к неожиданным результатам.
Оба эксперта согласились с тем, что файл «crypted.ex» был скомпилирован из исходных кодов 15 сентября 2010 г., а записан на диск — 22 сентября. Между тем, согласно материалам дела, данный диск из ФСБ в Group-IB был направлен еще 8 сентября, а с 10 по 25 сентября он находился на исследовании в этой компании. Правда, Ануфриев сделал оговорку, что программа PE Tools, с помощью которой был установлен данный факт, сама позволяет изменять время создания файла.
Адвокат Игоря Артимовича Павел Зайцев сделал из полученных данных вывод, что файл «crypted.ex» «был умышленно собран неизвестным лицом в Group-IB с целью фальсификации доказательств по данному уголовному делу». При этом данный вирус никак не мог применяться в атаке на «Ассист», состоявшейся за два месяца до этого, добавил адвокат. Ранее защита уже обращала внимание суда и на другое странное обстоятельство с этим диском.
Оперативно-розыскные мероприятия в отношении братьев Артимовичей, в частности, перехват трафика их интернет-канала, начались после получения 3 августа 2010 г. соответствующей санкции Московского городского суда. Однако санкция этого же суда на получение информации с американских серверов, на которых была расположена панель управления бот-сети Topol-Mailer, была дана только 30 сентября.
Между тем, в упомянутом ранее запросе ФСБ в Group-IB на исследование панели управления Topol-Mailer от 8 сентября указывается, что санкция суда уже имеется. В документе даже приводится номер соответствующего решения, который совпадает с номером решения от 30 сентября. «8 сентября нельзя было знать и иметь на руках решение Мосгорсуда от 30 сентября, и тем более указывать его в документе, – отмечает в своем ходатайстве Зайцев. – Таким образом, данный документ сфальсифицирован, а именно подписан задним число с целью придания видимости законности проводимым сотрудниками ФСБ незаконным мероприятиям».
Проведенный в ходе судебного заседания осмотр ноутбуков Артимовичей также выявил неожиданные результаты. Оказалось, что оба они содержат в совокупности на 3,2 Гб больше данных, чем было зафиксировано в протоколах об их осмотре. Журнал работы компьютеров показал, что они оба включались 10 июня 2011 г. — то есть в период между их изъятием и вскрытием в присутствии понятых. Из этого защита сделала вывод, что на ноутбуки кем-то была записана дополнительная информация и программы.
В связи с этим Павел Зайцев подал ходатайство об исключении ноутбуков из числа доказательств обвинением, а компакт-диск переквалифицировать как доказательство со стороны защиты (то есть доказательство того, что обвиняемые не проводили атаку на «Ассист»). Кроме того, адвокат попросил судью направить в Следственный комитет сообщение о преступлении — фальсификации доказательств по уголовному делу — с целью проверки. Судья Наталья Лунина ходатайство о переквалификации доказательств отклонила, предложив рассмотреть это на стадии судебных прений. Заявление о преступлении пока осталось без ответа. В Group-IB и «Лаборатории Касперского» от комментариев отказались.