Признание хакера, атаковавшего «Аэрофлот»

Хакер Дмитрий Артимович, 10 лет назад осуществивший DDoS-атаку против «Аэрофлота», рассказал о причинах этого инцидента. Свое заявление он опубликовал в серии роликов, размещенных на видео-хостинге YouTube.

В середине 2000-х годов Дмитрий Артимович и его брат Игорь занимались разработкой 3D-игр. Затем они переориентировались на поисковую оптимизацию (SEO) и стали участвовать в партнерских программах по подпольной продаже фармацевтических препараторов в зарубежном интернете.

Как братья Артимовичи стали хакерами

Идея таких партнерских программ состоит в том, что на Западе лекарственные препараты стоят дорого, а их приобретение, как правило, требует наличия рецепта. В то же время в странах Азии производятся дженерики – аналоги известных препаратов, которые стоят значительно дешевле и продаются без рецептов.

Партнерские программы сводили клиентов из США и других стран Запада с поставщиками из Индии и Китая. Участником партнерской программы может быть любой желающий веб-мастер: он создает собственные витрины и получает комиссию за каждого привлеченного клиента.

Основным способом продвижения подобного рода продукции был поисковый и почтовый спам. Для рассылки почтового спама необходим бот-нет: вредоносное ПО, которое незаметно устанавливается на компьютеры обычных пользователей и начинает рассылать с них спам. Изначально Артимовичи арендовали чужие ботнеты, но соответствующие услуги стоили дорого.

Кроме того, купить «чистую» загрузку было сложно. Владельцы ботнетов, как правило, продавали доступы к зараженным компьютерам сразу нескольким клиентам, из-за чего данный компьютер быстро выпадал из сети. В результате Артимовичи написали собственный ботнет – Topol-Mailer – который маскировался под драйвер ОС Windows.

Загадочная личность создателя Chronopay Павла Врублевского

Как рассказывает Дмитрий Артимович, первоначально он и его брат сотрудничали с сетью Glavmed, созданной Игорем Гусевым и являвшейся в 2009-2010 гг. крупнейший партнерской программой по продаже фармацевтических препараторов.

Позже из-за конфликта с Гусевым Артимовичи переориентировались на владельца платежной системы Chronopay Павла Врублевского. Дмитрий Артимович утверждает, что в то время вокруг Врублевского образовалась «тусовка хакеров».

Гусев, который ранее также был совладельцем Chronopay, говорит, что Врублевский также имел отношение к проектам анонимного интернет-банка Fethard, партнерской программе по продаже фармацевтических препаратов Rx-Promotion (конкурент Glavmed), форуму для создателей сайтов для взрослых Crutop, партнерской программе по распространению порнографии Pornocruto и другие. Врублевский связь с данными проектами отрицал.

Как происходила DDoS-атака против «Аэрофлота»

В своих видео Дмитрий Артимович заявляет, что летом 2010 г. ему с братом неожиданно поручили использовать имевшийся у них ботнет для DDoS-атаки на платежную систему «Ассист», обслуживавшую тогда «Аэрофлот». Поручение поступило от сотрудника службы безопасности Chronopay и бывшего сотрудника Центра информационной безопасности ФСБ Максима Пермякова.

Атака началась 15 июля 2010 г. и сразу стала успешной, так как «Ассист» использовал слабый канал связи – 10 Мбит/с. Затем «Ассист» попытался защититься с помощью услуг «Лаборатории Касперского».

Тогда Артимовичи усилили атаку и стали закупать ботов для установки на их компьютеры Topol-Mailer. Для этого Пермяков через систему электронных платежей Webmoney перечислил им $20 тыс.

Атака продолжалась с перерывами две недели до 22 июля, рассказывает Артимович, вследствие чего на сайте «Аэрофлота» была невозможна оплата электронных билетов. После этого «Аэрофлот» расторг контракт с банком «ВТБ-24», отвечавшим за прием платежей на сайте авиакомпании («Ассист» был его субпорядчиком) и подал иск к банку на сумму 140 млн руб. Данный иск был отклонен.

В чем был мотив заказчика DDoS-атаки «Аэрофлота»

Дмитрий Артимович говорит, что истинной причиной атаки был конфликт Врублевского с Сергеем Михайловым, занимавшим тогда пост замглавы ЦИБ ФСБ. Врублевский в своих первых показаниях по делу о DDoS-атаке против «Аэрофлота» также говорил о конфликте с Михайловым. Сам Михайлов выступал на суде по данному делу и рассказывал, что он давно был знаком с Врублевским, которому удалось сплотить вокруг себя большое число хакеров.

Артимович обращает внимание на то обстоятельство, что в то время американский журналист Брайан Кребс (Brian Krebs) активно публиковал расследования о российских хакерах, раскрывая конфиденциальные сведения о них, например, номера кошельков в системе Webmoney. В числе прочего Кребс написал о том, как Chronopay принимает платежи за фальшивый антивирус для MacOS – Mac Defender.

Артимович утверждает, что «серые клиенты» Chronopay были недовольны такими утечками. Служба безопасности Chronopay якобы начала собственное расследование и выяснила, что за утечками Кребсу стоит Сергей Михайлов.

Из-за них Врублевский, как полагает Дмитрий Артимович, и решил отомстить Сергею Михайлову, организовав атаку против «Аэрофлота» и показав, что ФСБ не способна защитить крупнейшего национального авиаперевозчика.

Арест хакеров и странное требование со стороны следователя ФСБ

Эффект для заказчиков атаки был прямо противоположным. Весной 2011 г. ФСБ возбудило уголовное дело о DDoS-атаке на «Аэрофлот». После этого был арестован Игорь Артимович, который дал признательные показания. Дмитрий Артимович полагает, что его брата специально «обработали» в СИЗО «Лефортово», чтобы он дал показания против всех участников DDoS-атаки.

После этого Врублевский, находившийся на отдыхе на Мальдивах вернулся в Россию и был задержан в аэропорту. Затем он дал признательные показания. Арестован был и Максим Пермяков, также признавший свое участие в атаке. Дмитрий Артимович на тот момент находился в Таиланде. Он принял решение вернуться в Россию и признать свое участие в атаке.

Дмитрий Артимович не был помещен под стражу, а к концу 2011 г. все фигуранты данного дела вышли на свободу. Дмитрий Артимович также утверждает, что его брат Игорь предложил ему сменить их партнера по фармацевтическому бизнесу и вместо Павла Врублевского отдавать половину прибыли следователю ФСБ Сергею Дадинскому, который вел их дело.

Артимович утверждает, что и сам Дадинский делал ему такое предложение, специально устроив встречу за пределами следственного отделения ФСБ и придя туда с аппаратурой для защиты от прослушки. Когда же Артимович отказался, следователь якобы начал издеваться над ним: вызывал на допрос к семи часам, а как только обвиняемый приезжал к следственному отделу, сразу его отпускал.

Осенью 2012 г. в Тушинском районном суде Москвы начался процесс над обвиняемыми. Врублевский и братья Артимовичи отказались от признательных показаний, из-за чего процесс затянулся почти на год. Летом 2013 г. суд признал всех четырех обвиняемых виновными в совершении DDoS-атаки против «Аэрофлота». Врублевский и братья Артимовичи получили каждый по 2,5 года в колонии общего режима. Пермяков, как фигурант, не отказавшийся от признательных показаний, получил аналогичный срок условно.

Врублевский и братья Артимовичи обжаловали этот приговор в Мосгорсуде, вновь признав свое участие в DDoS-атаке. Суд внес изменения в приговор, изменив колонию общего режима на колонию-поселение. Кроме того, братья Артимовичи были освобождены из под стражи с обязательством самостоятельного этапирования в колонию.

Дмитрий Артимович вслед за Павлом Врублевским отбыли в колонию в Рязанской области и оба вышли на свободу в рамках процедур условно-досрочного освобождения. Игорь Артимович в колонию не поехал и был объявлен в розыск.

После освобождения Дмитрий Артимович некоторое время проработал топ-менеджером Chronopay. Но затем, из-за ссоры с Врубевским, покинул компанию и отсудил у Chronopay 2 млн руб.

Арест Сергея Михайлова по делу о госизмене

Более драматично сложилась судьба тех, кто расследовал дело о DDoS-атаке «Аэрофлота». В конце 2016 г. Сергей Михайлов вместе со своим подчиненным Дмитрием Докучаевым были арестованы по обвинению в госизмене. По этому же делу были арестованы специалист по расследованию кибер-преступлений «Лаборатории Касперского», бывший оперативник Управления «К» МВД Руслан Стоянов и предприниматель Григорий Фомченков.

Официально суть обвинений не известна. Но Павел Врублевский прямо говорил, что именно он передал правоохранительным органам информацию о преступлениях указанной группы лиц. По данным газеты «Коммерсант», обвинение заключается в незаконной передаче сотруднице американской компании I-Defenсe оперативной справки относительно Врублевского якобы связанной со спецслужбами США Кимберли Зенц (Kimberly Zentz).

В 2019 г. суд признал всех обвиняемых виновными и приговорил их к длительным срокам заключения. Михайлов получил 22 года тюрьмы, Стоянов – 14 лет, Фомченков – семь лет, Докучаев – шесть лет.

Связь ареста Михайлова и выборов в США

Арест Михайлова произошел после того, как президентом США был избран кандидат от Республиканской партии Дональд Трамп (Donald Trump). Демократическая партия обвинила российские власти во вмешательстве в выборе и использовании хакеров для взлома переписки данной партии. В связи с этим в США началось расследование под руководством прокурора Роберта Мюллера (Robert Mueller).

Артимович говорит, что, по его сведениям, российские власти получили информацию о противоправных действиях группы Михайлова по дипломатическим каналам. Источникам данных, по версии Артимовича, были новые власти США, которые опасались вброса через Михайлова доказательств относительно вмешательства российских хакеров в американские выборы.

Позиция Павла Врублевского

Павел Врублевский не стал комментировать утверждения Дмитрия Артимовича. Однако недавно он дал интервью The Record, в котором также подтвердил, что целью атаки на «Аэрофлот» «была ложность и бесчувственность Михайлова».

По мнению Врублевского, Михайлов нарушал закон, передавая иностранным властям имевшиеся в его распоряжении материалы, что можно было делать только по каналам Генпрокуратуры. ФСБ к моменту публикации этого материала не ответила на запрос CNews относительно новых обстоятельств DDoS-атаки против «Аэрофлота».