PC World.com, США

В Европе прекращена деятельность сети инфицированных компьютеров

Сотрудничество американской компании 180solutions, занимающейся разработкой бесплатных программ с размещенной в них рекламой (adware), с правоохранительными органами США сыграло важную роль в прекращении деятельности европейской сети инфицированных компьютеров, называемой ботнет (botnet). Голландские власти сообщили, что в октябре было арестовано три человека, причастных к созданию ботнет, в которой были объединены сотни тысяч компьютеров, зараженных вредоносным компьютерным кодом, а затем использованы в качестве зомбированных ПК для совершения других преступлений.

180solutions разрабатывает программы adware. Такое программное обеспечение выдает рекламу на экран компьютера, и всякий раз, когда пользователь ПК щелкает по этой рекламе или покупает рекламируемый продукт, агент получает комиссионные

Несколько дней назад обвинение в аналогичном преступлении было предъявлено Дженсону Джеймсу Анчете. В этом обвинении, выдвинутом окружным судом США в Лос-Анджелесе, утверждается, что Анчета создал и распространил вредоносный код, который позволил сформировать сеть инфицированных ПК (называемых ботами или сетевыми агентами-роботами, поскольку они, по существу, начинали действовать как автоматы или роботы), а затем продавал доступ к этим ПК хакерам и спамерам.

Кроме того, как утверждается, Анчета использовал ботнеты для получения доходов от тайной установки adware на инфицированные компьютеры. Американские прокуроры считают, что ботнеты в США объединяли примерно 400 тыс. ПК.

Подробности преступления

Согласно опубликованным данным, власти Нидерландов считают, что ботнеты могли состоять здесь более чем из миллиона зомбированных ПК. В нелегальном доступе к компьютерам, нанесении вреда цифровым сетям, установке рекламных и шпионских программ, нелегальном доступе к счетам PayPal и в скупке краденого обвиняются три человека.

В Америке прокуратура США предъявила Дженсону Джеймсу Анчете, а также еще одному члену преступной группы, имя которого не называется, обвинение в использовании ботнет для распространения и установки adware двух фирм: Loudcash и Gammacash. За неавторизованную установку этих программ фирмы вынуждены были ежемесячно платить Анчете и его группе, которая, по утверждению властей, располагается во Флориде, суммы, измеряемые тысячами долларов.

Loudcash сейчас принадлежит компании 180solutions, но Шон Сандволл, директор 180solutions по корпоративным связям, заявил, что «согласно нашим данным, Анчета прекратил устанавливать наше программное обеспечение примерно в январе 2005 года, то есть до того, как мы приобрели CDT/Loudcash». В своем Web-дневнике Сандволл написал, что 180solutions будет рада сотрудничать с властями в ходе разбирательств по лос-анджелесскому делу.

180solutions разрабатывает программы adware и, как и многие маркетинговые фирмы, работающие в Internet, использует сеть агентов — это могут быть отдельные люди или компании, которым фирма платит за распространение этих программ.

Такое программное обеспечение выдает рекламу на экран компьютера, и всякий раз, когда пользователь ПК щелкает по этой рекламе или покупает рекламируемый продукт, агент получает небольшие комиссионные. Представители 180solutions утверждают, что действия их агентов ограничены условиями контракта, запрещающими использование нелегальных средств для того, чтобы вынудить пользователей устанавливать adware на свои ПК.

В Европе пошли по пути сотрудничества

Отчеты, опубликованные во время арестов, состоявшихся 6 октября в Голландии, также утверждают, что обвиняемые вымогали деньги у неустановленной американской компании и с помощью ботнет участвовали в организации атак на отказ в обслуживании против нее.

С разрешения ФБР компания 180solutions подтвердила, что речь в том случае шла именно о ней. Сандволл заявил, что попытка вымогательства, предпринятая против фирмы, по-видимому, началась после разлада с агентом.

Представители ФБР сообщили, что 180solutions активно сотрудничает с представителями закона. Источник в офисе ФБР в Сиэтле, знакомый с результатом расследования по делу о голландской ботнет, подтвердил, что 180solutions стало известно о том, что ее голландский агент находится под следствием, еще до того, как произошли указанные атаки.

По словам Сандволла, специалисты 180solutions обнаружили слишком большой объем установок ее продуктов и пришли к выводу, что один из агентов, по-видимому, нарушает условия контракта с 180solutions. Затем компания попыталась, но безуспешно, войти в контакт с этим агентом. «Он не отвечал на наши запросы, и мы отказались от его услуг», — заявил Сандволл.

Очень быстро ситуация приняла дурной оборот. Агент потребовал с компании деньги. Сначала ему отказали.

Однако затем, по словам Сандволла, он перешел к угрозам, заявив, что его отключить они не могут, а «он их — очень просто». После этого, по словам Сандволла, Web-сервер компании 180solutions, который работает на сайте Loudcash.com, стал объектом очень тяжелой, двухчасовой атаки на отказ в обслуживании.

«Этот человек заявил, что он не шутит, может нас отключить в любой момент и хочет получить свои деньги», — рассказал Сандволл. В течение нескольких дней на сервер 180solutions обрушивались атаки, а затем компания обратилась в ФБР.

«Мы заплатили ему при негласном контроле правоохранительных органов, — подтвердил Сандволл. — Агент оказался не особенно жадным. Сумма, которую он запросил, не была огромной, хотя и выражалась пятизначным числом. После выплаты мы передали все доказательства в ФБР, и с этого момента атак на отказ в обслуживании на нашем сайте больше не было».

Сандволл сообщил, что вымогатель предоставил в 180solutions идентификационную информацию, в том числе номер банковского счета, поэтому перевод суммы, которую он затребовал, можно было проследить. Информация непосредственно указывала на «заинтересованного человека», для ареста которого, по словам источника в ФБР, были все основания. Кроме того, информация из журналов регистрации SMS-сообщений и сообщений электронной почты с угрозами согласовывалась с данными регистрации атак против сайта Loudcash.com компании 180solutions.

Имея данные о расчетном счете в голландском банке, ФБР обратилась в офис своего юридического представителя в Нидерландах, который проинформировал голландские власти.

Голландский провайдер Internet-услуг XS4All и компьютерная служба быстрого реагирования правительства Голландии, GovCERT.nl, приняли участие в расследовании. «Подозреваемые были арестованы главным образом из-за деятельности, связанной с работой ботнет IRC, а атака на отказ в обслуживании была инициирована с помощью этой ботнет», — заявили источники в ФБР.

Представители и 180solutions, и ФБР подчеркивают важность сотрудничества. «Киберпреступников невозможно арестовать усилиями только правоохранительных органов ни в одной отдельно взятой стране», — утверждают представители ФБР.

Поделитесь материалом с коллегами и друзьями