В интернете кто-то врет В дело владельца Chronopay втянули «Лабораторию Касперского»

В конце февраля 2013 года Генпрокуратура России начала проверку сообщений о том, что сотрудник «Лаборатории Касперского» получил взятку за проведение экспертизы по делу об атаке на сайт платежной системы Assist. Предполагаемые исполнители атаки, выдвинувшие это обвинение, пытаются таким образом исключить из уголовного дела самое существенное доказательство. На сторону хакеров встал депутат Госдумы.

Действующие лица

Главным действующим лицом истории про атаку на сайт Assist является сам Павел Врублевский. В 2003 году Врублевский вместе с Игорем Гусевым создал компанию Chronopay, которая за последующие годы стала одной из главных платежных систем в России. В 2005 году Врублевский выкупил у партнера долю в компании. Гусев запустил ресурс GlavMed, который, по данным российских следователей, за 3,5 года продал контрафактных медицинских препаратов (в частности, виагры) на 120 миллионов долларов. Но Гусев примечателен не этим: распространением его товаров занималась крупнейшая спам-сеть в мире.

Российские правоохранительные органы заинтересовались компанией Гусева осенью 2010 года. Причем статьи «за спамерство» в законодательстве не предусмотрено, поэтому бизнесмена обвинили в незаконном предпринимательстве. 1 октября, вскоре после возбуждения уголовного дела, закрылась сеть SpamIt, которую и называли главным «двигателем» товаров GlavMed. Объем мирового спама после этого упал на 20 процентов.

Сам Гусев обвинил в инициировании уголовного дела против себя Павла Врублевского. Бывший партнер, мол, решил не платить полностью за полученную долю Chronopay, из-за чего возник долгий конфликт, обострившийся как раз в октябре 2010 года. Эксперт по компьютерной безопасности Брайан Кребс (Brian Krebs) видит причину конфликта между Гусевым и Врублевским в другом. Последний, писал Кребс в 2011 году, создал свою нелегальную партнерскую программу Rx-Promotion, которая тоже торговала медицинскими препаратами. «Суть конфликта: два бывших бизнес-партнера, превратившихся в конкурентов, пытаются разрушить друг другу бизнес и отправить соперника в тюрьму», — указывал эксперт.

Гусев в тюрьму так и не попал: он скрылся где-то за рубежом. Зато сам Врублевский летом 2011 года был арестован и провел последующие полгода в СИЗО «Лефортово». Арест был инициирован ФСБ России: владельца Chronopay обвинили в организации DDoS-атаки на другого конкурента, платежную компанию Assist. По версии следствия, Врублевский поставил задачу найти хакеров своему подчиненному Максиму Пермякову. Тот связался с братьями Игорем и Дмитрием Артимовичами, усилиями которых сайт Assist не работал с 15 по 24 июля 2010 года. Больше всего от атаки пострадал «Аэрофлот», клиент платежной системы — авиакомпания не могла все эти девять дней продавать билеты через интернет (правда, «Аэрофлот» так и не смог отсудить компенсацию за простой).

Врублевский в октябре 2011 года признался в организации атаки. Очевидно, он сделал это, чтобы его выпустили из СИЗО (один из братьев-хакеров, Дмитрий Артимович, написал у себя в блоге, что тоже «написал признанку», после чего был отпущен домой). Правда, в интервью «Новой газете» владелец Chronopay рассказал, что он «сделал страшную "подлость", написав "явку с повинной", что совершил DDoS-атаку неизвестно когда, неизвестно на кого». Это, по его словам, помешало следователям «навесить» на него другие преступления. А когда дело передали в Тушинский районный суд Москвы, Врублевский и вовсе отказался от явки, заявив, что никакого преступления он не совершал.

Единственным, кто дал на Врублевского показания по существу, оказался его бывший подчиненный Максим Пермяков. Владелец Chronopay подчеркивает, что раньше Пермяков работал в Центре информационной безопасности ФСБ России (ЦИБ ФСБ), подразделении, участвующем в расследовании атаки на Assist. Более того, как пишет CNEWS, они познакомились на вечеринке участников форума Crutop, на котором «тусуют» веб-мастера сайтов с порнографией, торговцы медпрепаратами и распространители спама. На тот момент Пермяков работал в ФСБ, а через несколько месяцев перешел в Chronopay.

Что касается самой заметки CNEWS «Расследование: как владелец Chronopay пытался противостоять ФСБ», в которой и был упомянут момент знакомства Пермякова с Врублевским (а также говорится о неких связях владельца Chronopay с МВД), то обвиняемые по делу об атаке на Assist указывали на правки, возникшие в материале после его выхода. В частности, как утверждает Врублевский, в статью вписали абзац «по словам источника CNEWS в ФСБ» и убрали фамилии некоторых служебных лиц (полный разбор материала опубликован на compromat.ru). Это, по мнению владельца Chronopay, указывает на вмешательство ФСБ в публикацию, в связи с чем его адвокаты подали жалобы директору ведомства Александру Бортникову и генпрокурору Юрию Чайке.

50 тысяч долларов США

Уголовное дело в отношении Врублевского, Пермякова и Артимовичей было направлено в суд в начале мая 2012 года, но уже в июне суд вернул дело в прокуратуру. Тогда оказалось, что обвинение предполагаемым организатору и исполнителям атаки предъявили в редакции закона, утратившей силу за полгода до этого. Однако уже в августе прокуратура смогла опротестовать это решение (обосновав, что это была опечатка), и рассмотрение дела снова вернулось в суд.

Сторона защиты утверждает, что ошибка в формулировании обвинительного заключения — не единственная в этом деле. Самым активным «разоблачителем» тут стал один из братьев-хакеров, Дмитрий Артимович. Он утверждает, что всю жизнь занимался разработкой игр и фрилансом, тогда как его брат Игорь программировал в компании Sun Microsystems. «Конечно, компьютерные вирусы, черви и руткиты — довольно интересное направление, которое нас всегда интересовало», — признается Дмитрий в блоге, но подчеркивает: с Врублевским в 2010 году они познакомились с целью создать антивирус.

Основные претензии Артимовича связаны с экспертизой в уголовном деле, проведенной представителем «Лаборатории Касперского» Григорием Ануфриевым. Предполагаемый хакер утверждает, что в протоколе изъятия ноутбуков его брата фигурировали белые опечатанные пакеты, а при передаче в руки Ануфриева они превратились в черные. В ноутбуке, купленном за несколько недель до ареста (и спустя много месяцев после атаки на Assist), были обнаружены исходные коды некой вредоносной программы «Topol-M», которую эксперт должен был сравнить с вирусом с названием «crypted.ex», относящимся к известному ботнету Festi. Festi — это сеть зараженных машин, которая, как выяснили в Eset, использовалась для рассылки спама и совершения DDoS-атак, в том числе на Assist.

Григорий Ануфриев провел экспертизу в сентябре-ноябре 2011 года и пришел к выводу, что «Topol-M» может использоваться для организации DDoS-атак и кражи личных данных пользователей. Эксперт установил, что «Topol-M» и предоставленный ему «crypted.ex» относятся к одному и тому же типу вредоносных программ Rootkit.Win32.Tent.bvb по классификации «Лаборатории Касперского», но авторство программы, найденной на ноутбуке Игоря Артимовича, выявить не смог. Сторона защиты с выводами Ануфриева не согласна. Так, юристы нашли 17 формальных ошибок в самом экспертном заключении. С другой стороны, Дмитрий Артимович всеми силами пытается доказать, что экспертиза не просто неверна, а была специально сфальсифицирована.

В подтверждение своих слов он опубликовал выдержки из судебного заседания, на котором выступал Ануфриев. У эксперта выясняли, каким образом он сравнил функционал исходного кода программы «Topol-M» и скомпилированного вируса «crypted.ex». Тот рассказал, что дизассемблировал вирус и изучил, что же тот делает. Несмотря на то, что исходный и дизассемблированный коды принципиально различны, Ануфриев установил, что суть в них прописана одна и та же. «Вот "Отче наш" читал на русском языке и на старо-греческом. Одно и тоже. А очень по-разному написано. Вот также и в исходных кодах», — решил спуститься до бытовых примеров эксперт «Лаборатории Касперского», за что тут же ухватился Дмитрий Артимович.

У Артимовича возникли вопросы и к грамотности самой экспертизы. В феврале 2013 года он инициировал ее обсуждение на нескольких программистских и околопрограммистских форумах, включая RSDN и xakep.ru. На последнем ресурсе дискуссия быстро скатилась к разговору на посторонние темы, тогда как на RSDN программисты активно включились в обсуждение экспертизы Ануфриева. Примечательно, что к единой точке зрения они так и не пришли: одни утверждали, что использованное экспертом ПО позволило бы ему восстановить исходный код «crypted.ex» в виде, который позволит судить о его схожести с «Topol-M». Другие категорически не соглашались с ними. В числе последних оказался и Крис Касперски (псевдоним образован от имени мультяшного привидения Каспера — прим. «Ленты.ру»), российский хакер, 15 лет занимающийся обратной разработкой (то есть «вскрытием» уже готовых, скомпилированных программ, и изучением полученного кода).

Касперски, работавший до сентября 2012 года в компании McAfee, назвал экспертизу Ануфриева «бредом сивой кобылы», хотя, очевидно, далеко не все участники RSDN с ним согласились. Зато Дмитрий Артимович получил твердый «плюс» к своей позиции. 12 февраля предполагаемый хакер опубликовал пост, в котором привел слова Касперски и обвинил Ануфриева в получении взятки. Аргументов у Артимовича два. Во-первых, «в кулуарах интернета», как он утверждает, ходят слухи о некоем «Грише-Полтишке», который якобы делает экспертизу для «андерграунда русского интернета» (людей, занимающихся детской порнографией или спамом) за 50 тысяч долларов.

Второй аргумент Артимовича весомее. Дело в том, что в 2011 году в Сеть попали логи переписки между давним партнером (а позже конкурентом) Врублевского Игорем Гусевым и Дмитрием Ступиным, его помощником в GlavMed и SpamIt. Их перевод, в частности, опубликовал Брайан Кребс. В переписке Гусев сообщает Ступину, что он заплатил 50 тысяч долларов «по делу Engel». Последний остается недоволен этим решением, на что Гусев указывает: «50к - это гораздо меньше тех убытков что мы уже понесли из-за его досов и которые еще понесем, если он опять начнет досить. сейчас он знает что на него активно органы копают и на ражон уже не лезет» (орфография и пунктуация сохранены — прим. «Ленты.ру»). Он также отмечает, что из 50 тысяч 20 идут на «экспертизы», а еще 30 — на то, чтобы ускорить возбуждение уголовного дела.

Тогда же из уголовного дела Врублевского стало известно, что именно на имя Engel в системе Webmoney переводились деньги в дни атаки на Assist. Следствию через «оперативные возможности» удалось выйти на Engel, которым оказался один из братьев-хакеров, Игорь Артимович. Это позволило Дмитрию Артимовичу заявить в своем блоге, что Гусев заказывал некоему лицу уголовное преследование именно его брата. Он сначала пишет, что нельзя точно сказать, пошли ли эти деньги на экспертизу у Григория Ануфриева из «Лаборатории Касперского», а потом добавляет: «исходя из того кошмара в комментариях рунета, что произвела Гришина экспертиза, разумно предположить что во всяком случае именно за неё господин Гусев платил 50 тыс $».

Депутатский запрос

В феврале 2013 года, вскоре после появления заявлений Дмитрия Артимовича, депутат Госдумы от ЛДПР Максим Шингаркин обратился к Генпрокурору и директору ФСБ с просьбой проверить сообщения о том, что Григорий Ануфриев получил взятку в 50 тысяч долларов за экспертизу по делу об атаке на Assist. Шингаркин в запросе ссылается на переписку между Гусевым и Ступиным и подчеркивает, что попавшие в Сеть логи, конечно, не могут выступать в роли доказательств. Но чтобы все-таки придать весомости этому аргументу, он ссылается на исследование «PharmaLeaks: Understanding the Business of Online Pharmaceutical Affiliate Programs» о незаконной торговле медицинскими препаратами в Сети. Исследование летом 2012 года подготовили представители трех американских институтов, а также уже знакомый нам Брайан Кребс (последнего Шингаркин у себя не упоминает). Исследование построено на той же переписке, поэтому во введении говорится о том, что все косвенные признаки указывают на ее подлинность (хотя допускается и то, что это очень дорогая подделка).

Шингаркин также вспоминает слова Криса Касперски, назвавшего экспертизу Ануфриева «бредом сивой кобылы», и говорит, что «по мнению подавляющего большинства программистов русского сегмента Интернет» в решении сотрудника «Лаборатории Касперского» содержатся «яркие признаки фабрикации». В связи с этим депутат просит проверить информацию о коррупции в антивирусной компании, претендующей на киберзащиту крупных атомных и промышленных предприятий. В конце февраля в Генпрокуратуре сообщили, что начали проверку.

Павел Врублевский сообщил «Ленте.ру», что он не знаком с депутатом Шингаркиным и «никаким образом не связан» с ним. Вместе с тем, он «полностью поддерживает» позицию парламентария и намерен приложить усилия, чтобы озвученные в запросе факты были должным образом расследованы. Сам Шингаркин, занимающий пост заместителя председателя комитета Госдумы по природным ресурсам, природопользованию и экологии в беседе с «Лентой.ру» отметил, что увидел публикацию о возможной коррупции в интернете. По его словам, статус депутата обязал его обратиться в госорганы с требованием разобраться в предполагаемом преступлении.

В «Лаборатории Касперского» подчеркнули, что Генпрокуратура к ним еще не обращалась, но если это и случится, компания готова оказать все необходимое содействие. Представитель «Лаборатории» также подчеркнул, что Григорий Ануфриев продолжает оставаться сотрудником компании. Более того, за время работы в ней он провел более 100 экспертиз, и ни по одной из них не возникало каких-либо претензий или поводов для пересмотра результатов.

Открытый финал

В деле об атаках на Assist и слухах вокруг него остается много странностей и несостыковок. Например, переписка между Гусевым и Ступиным, в которой упоминается взятка, проходила осенью 2010 года, тогда как экспертизу Григорий Ануфриев провел год спустя. Неясно и то, каким образом «20 тысяч на экспертизу и 30 тысяч на ускорение уголовного дела» превратились в «50 тысяч долларов на экспертизу». С другой стороны, Дмитрий Артимович сообщает, что получил более тысячи СМС-сообщений с угрозами и требованием предоставить некие исходные коды (как он предполагает — именно той программы, которую нашли на ноутбуке его брата). Вдобавок Павел Врублевский утверждает, что «Лаборатория Касперского» не могла выступать экспертом в этом деле, потому что именно ее специалисты обеспечивали защиту компании Assist. Пока понятно только то, что Артимовичи хотят «отбить» единственное существенное доказательство в уголовном деле — экспертизу Ануфриева.

P.S. Журналист «Новой Газеты» Ирек Муртазин предположил в ноябре 2012 года, что Павла Врублевского на самом деле завербовало управление «К» ФСБ России, чтобы тот реализовывал «изящные схемы вывода денег из страны». В таком контексте запрос депутата Шингаркина Муртазин считает атакой на «Лабораторию Касперского», на которую Врублевскому дали добро его «кураторы». Еще Муртазин уверен, что в итоге дело об атаке на Assist все-таки развалится.