Хакеров из Эстонии и России обвинили в США

Федеральная прокуратура Южного округа Нью-Йорка сообщила о разоблачении преступной группы, которая обвиняется в заражении более чем 4 млн компьютеров в более чем 100 странах мира вредоносной программой, позволившей злоумышленникам незаконно заработать примерно 14 млн долларов

Полмиллиона пострадавших компьютеров находятся в США и принадлежат как частным лицам, так НАСА, учебным заведениям, некоммерческим организациям и частным фирмам.

В расследовании аферы, которая длилась с 2007 по октябрь 2011 года, принимали участие не только ФБР, но и представители НАСА, американских вузов и ряда исследовательских центров. Прокуратура также выразила благодарность свои эстонским и голландским коллегам.

Главный прокурор округа Прит Бхарара назвал участников аферы «международными кибербандитами». «Интернет вездесущ, поскольку это весьма полезный инструмент, — заявила директор нью-йоркского отделения ФБР Дженис Федарсик, — но это также инструмент, который подвержен эксплуатации злонамеренными лицами с кое-какими специальными навыками».

К суду привлечены шесть граждан Эстонии со славянскими фамилиями и один россиянин с эстонской. В минувший вторник в Эстонии были арестованы местной полицией и погранохраной 31-летние Владимир Цасцин (Tsastsin), Тимур Герасименко и Валерий Алексеев, 33-летний Дмитрий Егоров, 28-летний Констанин Полтев и 26-летний Антон Иванов. США намерены добиваться их экстрадиции. Седьмой подозреваемый — гражданин и житель России 31-летний Андрей Тааме — объявлен в розыск.

Предъявленные им обвинения включают преступный сговор с целью совершения мошенничества, грозящий лишением свободы на срок до 30 лет, и взлом компьютеров с целью мошенничества (до 5 лет). Цаcцин обвиняется также в отмывании денег (до 30 лет) и переводе незаконных доходов в сумме больше 10 тысяч долларов (до 10 лет за каждый эпизод).

Как говорится в 62-страничном обвинительном заключении по этому делу, рекламный бизнес в Интернете — «это многомиллиардная отрасль, в которой владельцы веб-сайтов продают место для рекламных объявлений на своих сайтах» и оплачиваются в зависимости от их посещаемости. Чем больше потенциальных клиентов зайдет на сайт и кликнет на конкретное объявление или просто его прочтет, тем больше денег получит его владелец с рекламодателей.

«Программа-Сусанин»

Обвиняемые, по словам прокуроров, искусственно увеличивали посещаемость своих сайтов, тайно запуская в миллионы чужих компьютеров вредоносные программы, которые направляли их владельцев на эти сайты.

Например, хозяин зараженного компьютера находил в поисковике адрес официального сайта iTunes корпорации Apple и кликал на него. Но попадал он на другой сайт — idownload-store-music, потому что дорогу ему указывала программа злоумышленников, которым платили за каждого посетителя.

Вместо сайта налогового ведомства США «программа-Сусанин» отправляла пользователя на сайт известной в Америке фирмы H&R Block, занимающейся составлением налоговых деклараций.

Другой трюк состоял в мошеннической подмене рекламы на каком-то сайте. К примеру, выйдя 31 мая 2010 года на сайт газеты Wall-Street Journal, хозяин зараженного компьютера видел там не законную рекламу кредитки Plum Card компании American Express, а объявление фирмы Fashion Girl LA. Не подозревавшие подвоха рекламодатели этой фирмы честно платили мошенникам за каждый просмотр своего объявления на таком популярном сайте.

Посещая сайт популярного спортивного телеканала ESPN, хозяин зараженного компьютера видел на нем рекламу не прохладительного напитка Dr. Pepper, а агентства по сдаче квартир. У злоумышленников не было контракта с рекламодателями Dr. Pepper, но был с рекламодателями этого агентства, которые платили им за каждый просмотр своего объявления.

Кроме этой тайной переадресовки, вредоносная программа попутно обезоруживала антивирусную защиту чужих компьютеров. Например, когда хозяин инфицированного компьютера заходил на сайт антивирусной программы Avast!, его неизменно встречала надпись «Ошибка: не могу связаться с сервером». Это трюк делал чужие компьютеры уязвимыми для вирусов и троянских коней, запущенных другими киберпреступниками. В результате те получали возможность похищать личные данные и финансовую информацию их владельцев.

Владимир Козловский
Русская служба Би-би-си, Нью-Йорк