Koobface совершает ошибку, а потом еще одну…, О машинах и котятах…

Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg).

17 января 2012 года  New York Times   сообщила,  что Facebook планирует назвать имена пятерых человек, имеющих отношение к группе Koobface.
В результате этого объявления мы решили опубликовать  следующее исследование, в котором объясняется, как мы раскрыли эти  имена.

К сведению читателей: в этой статье опущены некоторые имена и другие подробности, это сделано для защиты частной жизни подозреваемых и их семей. Кроме того, некоторые URL в данном документе могут указывать на материалы сомнительного содержания или на вредоносный контент, небезопасный для просмотра. Важно помнить, что ни одному из лиц, упоминаемых здесь, не было предъявлено обвинение в каких-либо преступлениях, и они остаются невиновными то тех пор, пока
их вина не будет доказана

Введение: нет идеальных (кибер)преступлений

Ботнет Koobface - продукт группы, которая сама назвала себя «Ali Baba & 4», и известной также, как
«Koobface Gang» (то есть, «банда Koobface»), - терроризировал миллионы пользователей, начиная с середины 2008 года, и продолжает это делать вплоть до сегодняшнего дня, несмотря на многочисленные попытки отключить его.

Исследование, описанное ниже, проведено независимым исследователем Яном Дрёмером (Jan Drömer) и Дерком Колбергом (Dirk Kollberg), сотрудником SophosLabs, и фокусируется оно на личностях подозреваемых, стоящих за этой, крупнейшей за последние годы кибер-угрозой, и на процессе идентификации этих личностей.

Исследование, ставящее своей целью идентифицировать личности подозреваемых, проводилось, начиная с октября
2009 года и до февраля 2010, и с тех пор его результаты стали доступным для различных международных правоохранительных органов.

Как это всегда бывает в реальной жизни, идеальное киберпреступление - такой же миф, как и все идеальное.  Простая правда в том, что современные киберпреступления ориентированы
на то, чтобы достичь максимального дохода с минимумом вложений, а это подразумевает некоторую долю неизбежных несовершенств.

Именно эти несовершенства, вкупе с самоуверенностью преступников и свойствами такой неконтролируемой среды, как Интернет,  и привели, в результате, к идентификации тех подозреваемых, что составляют «шайку Koobface».

Koobface совершает ошибку, а потом еще одну...

В каждой кибер-атаке неизбежно фигурирует большое количество технических деталей (таких, например, как IP-адреса, доменные имена и т.п.), которые невозможно спрятать и которые становятся отправным пунктом в расследовании.

Расследование по  Koobface не было исключением, и, в результате идентификации одного из командных серверов Koobface, предназначенных для управления атаками, была обнаружена первая
ошибка, совершенная преступниками.

Оказалось, что в web-сервере Apache на одном из действующих командных серверов ботнета (captchastop.com, 67.212.69.230) был включен модуль mod_status. Включение этого модуля на
web-сервере позволяет любому посетителю получить доступ к запросам, приходящим на web-сервер, что выдает имена файлов и каталогов на нем.

Хотя эта ошибка была замечена и исправлена в конце октября 2009 года, спустя лишь несколько дней шайка совершает еще одну ошибку - устанавливает утилиту статистики Webalizer  с правами общего доступа, позволяя тем самым еще лучше рассмотреть внутренние структуры их командных серверов.

Но главный прорыв в техническом расследовании произошел в начале декабря 2009 года, когда в данных утилиты статистики Webalizer промелькнул файл с именем «last.tar.bz2», который, при дальнейшем изучении, оказался ни чем иным, как полной резервной копией ПО командных серверов Koobface. В дальнейшем ходе расследования аналогичные резервные копии были получены из многих других командных сетей Koobface.

Наряду с тем, что эти резервные копии
позволили провести подробный технический анализ, они использовались для идентификации всех систем, составляющих ландшафт ботнета Koobface, а также для извлечения информации  (имена пользователей, комментарии в исходном коде, файлы журналов и т.д.), которая могла помочь в идентификации людей, стоящих за ботнетом.

Это привело исследователей  к различным доменным именам и IP-адресам, среди которых одна система заняла особенное место.

Эта «база» Koobface располагалась по IP-адресу 78.108.178.44, в сети провайдера «UPL Telecom»  в Праге (Чешская республика) - она использовалась для сбора и хранения статистики, для слежения за командными серверами, а также для восстановления командных серверов в случаях, когда они становились недоступными.

Два из найденных доменных имен (babkiup.com и service.incall.ru) также принадлежали серверу- «базе». Если incall.ru был похож на легальный голосовой сервис VoIP, то сайт babkiup.com приветствовал посетителей таким описанием своих услуг, которое точно совпадало с поведением ботнета Koobface, включая краткий раздел вопросов и ответов для заинтересованных клиентов и контактные номера ICQ, принадлежащие двум никам -  «PoMuC» и «LeDed».

Возвращаясь к тем резервным копиям - вероятно, самая интересная информация содержалась в PHP-скрипте, который использовался для отправки ежедневной статистики по доходам на пять мобильных телефонов через SMS-сообщения. Международный префикс  +7
 однозначно идентифицировал эти номера телефонов, как российские.

Обратите внимание - один номер закомментирован, - это означает одно из двух: или один из членов шайки
не был заинтересован в получении этих данных, или он покинул их ряды.

Ник «LeDed», названный в качестве
контакта на сайте «babkiup.com»,  вновь появляется в виде имени пользователя Unix в скрипте, используемом для восстановления вышедших из строя командных серверов Koobface. Особенно стоит отметить то, что в этом скрипте имя «LeDed» появляется в качестве имени, не только пользователя, но и группы - в контексте Unix-команды «chown».

«Krotreal» - еще один ник, который встречается в скрипте с именем «gen_service.php». Обстоятельства позволяют предположить, что данный комментарий в тексте скрипта был сделан самим «Krotreal», из чего можно заключить, что он имел доступ к этим PHP-скриптам, обеспечивающим функционирование командно-контрольной системы Koobface.

Кроме того, в резервной копии был найден файл изображения с именем «IMG_0121.JPG». Эта фотография не имеет никакого отношения к функционированию самого ботнета Koobface, но могла
попасть на командный сервер от кого-то из членов шайки Koobface.

Метаданные Exif, содержащиеся в файле изображения, показывают, что снимок был сделан при помощи iPhone, 15 сентября 2009 года, в точке с северной широтой  59° 55.66' и восточной долготой 30° 22.11'. Эта точка находится в центре Санкт-Петербурга в России.

Хотя эта информация, возможно, недостаточно точна для того, чтобы можно было идентифицировать точный адрес, она подтверждает прежние предположения, что члены шайки живут в России, и один или несколько из них находятся в районе Санкт-Петербурга.

Тем не менее, важно уточнить, что все эти выводы могут быть ошибочными, поскольку фото может не иметь никакого отношения к членам Koobface.

На следующей диаграмме схематически изображена вся информация, полученная из резервных копий серверов Koobface и его Web-сайтов.

О машинах и котятах...

Было очевидно, что для дальнейших поисков следует использовать телефонные номера, поскольку они, по всей
вероятности, должны быть связаны с личностями подозреваемых. В строках поиска использовались различные способы записи телефонных номеров, кроме этого использовался онлайновый телефонный справочник Санкт-Петербурга (Россия).

Один номер был обнаружен в объявлении о продаже автомобиля на онлайновой торговой площадке, в 2008 году там продавался BMW 3 серии с номером «H <пропуск> 98».

Тот же самый номер нашелся в объявлении на форуме, датированном сентябрем 2007 года, на этот раз продавались котята. И в этом объявлении, что еще более важно, приводился контактный адрес автора: «Krotreal@<пропуск>.com»,  и упоминалось его имя -
Антон.

Поскольку дальнейшие поиски по телефонному номеру завели в тупик, следующим вероятным источником информации должны были стать три ника («Krotreal», «LeDed» и «PoMuC»).

«Krotreal», или что в нике тебе моем?

Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg).

Подобно тому, как имя и фамилия идентифицируют человека в реальной жизни, ники выполняют ту же функцию в онлайне.

Обычно ники выбираются один раз, и на всю жизнь, и часто с определенными никами бывает связана определенная репутация. Это особенно верно в отношении подпольной экономики, где никто не использует в общении свое реальное имя, и где, тем не менее, необходимо отличать тех, кто предлагает надежный кибер-преступный сервис, от тех, кто просто обманывает клиентов.

Хотя некоторые преступники используют несколько ников, реалии жизни вынуждают их придерживаться выбранных ников для того, чтобы оставаться узнаваемыми в кибер-преступной среде.

Можно было бы подумать, что киберпреступник может просто «очистить» и сделать недоступными все свои профили в разных системах, но так случается нечасто. Сохранению следов способствует несколько факторов,  и самый простой из них - забывчивость. Человек может просто забыть о заведенной где-то учетной записи или забыть пароль к ней. Кроме того, старый профиль может стать публично доступным просто в силу изменения «условий обслуживания» сайта.

Поиск таких профилей на сайтах социальных сетей легко выполняется при помощи поисковиков или сервисов наподобие namechk.com или knowem.com. Хотя эти сайты и предназначены для того, чтобы помочь пользователям выбирать уникальные ники, не занятые другими пользователями, они также позволяют обнаружить все сетевые
сервисы, используемые заданным ником.

Это, как раз, мы и можем использовать для того чтобы найти профили интересующего нас ника в различных сервисах - а профили эти могут содержать  какую-то дополнительную информацию. Конечно, тут требуется осторожность, поскольку найденные профили могут принадлежать разным людям, случайно использовавшим одинаковые ники, или, даже, фальшивые профили могут создаваться намеренно.

В случае с профилями ника «Krotreal» он был идентифицирован  на сайтах Flickr, Netlog и LiveJournal, а также, при дальнейшем изучении - на сайтах vkontakte.ru, YouTube, FourSquare, Twitter и др.

Этим подтверждается важность длительных повторных поисков в течение нескольких недель.

Все эти профили были изучены на предмет наличия информации, ведущей к раскрытию реальной личности «Krotreal». Во всех профилях снова и снова повторялось имя «Антон», различные адреса e-mail, список хобби, ссылки на Санкт-Петербург и один и тот же номер
ICQ.

В некоторых профилях даже имелся портрет «Krotreal», что позволяет установить доказанную связь между двумя профилями, - сходную функцию может выполнять одинаковая картинка-аватар, использованная в разных профилях.

Уровни доступа к конкретным профилям, в общем случае, могут меняться. Фото-альбомы на Flickr, например, не были публично доступны в данном случае. Тем не менее, всегда полезно провести поиск по профилю с использованием нескольких разных поисковиков, поскольку может найтись информация, сохраненная в кеше поисковика или
внешние ссылки, указывающие на информацию, содержащуюся в профиле, как это произошло в случае с Flickr. На одном из изображений, которые вернул поиск, показался автомобиль с тем же номером, что и у автомобиля, упоминавшегося выше. Подпись гласила: «My little beauty » (Моя красотка).

В изображениях, самих по себе, может содержаться важная информация - например, в этом случае на ободке номерной пластины можно разглядеть название и номер телефона автомобильного дилера в Германии, что позволяет проследить цепочку владельцев машины от дилера и до нынешнего владельца.

На другом фото из его профиля на Flickr изображен он сам с котом породы «канадский сфинкс» на руках, а это, с учетом объявления о продаже котят, становится дополнительным указанием на личность «Krotreal».

Хотя во всех профилях содержится примерно одинаковая информация, в одном из них нашлась интересная дополнительная деталь - в качестве сайта, принадлежащего «Krotreal», был указан сайт «www.<пропуск>.ru».

Ссылка привела на сайт «для взрослых». Как ни удивительно, регистрационная информация Whois  на доменное имя этого сайта не была скрыта, и в ней владельцем домена записан Антон К., и для связи с ним указан петербургский городской номер. Впрочем, на точность информации  Whois  полностью полагаться нельзя.

Запрос данных Whois по домену verybest.org, который используется в качестве сервера имен для
www.<пропуск>.ru, вернул еще один адрес e-mail («Krotreal@mobsoft.com»), указывающий, что «Krotreal» имеет какое-то
отношение к компании с таким названием.

Примечание: в процессе расследования хостинг сайта www.<пропуск>.ru переместился на IP-адрес «базы» Koobface - 78.108.178.44.

Особый интерес представляют сайты социальных сетей, таких, как Facebook или vkontakte.ru, поскольку на них могут иметься сведения о родственниках или друзьях, если профиль находится в публичном доступе.

Доступ к профилю «Krotreal» был первоначально ограничен только «друзьями». Но через время ситуация изменилась и это напоминает исследователям, что подобные профили надо, время от времени,  перепроверять.

Хотя первоначально профиль не был доступен публично, «Krotreal» разместил ссылки на фотографии на своей странице в Twitter, сделав тем самым эти фотографии доступными для всех.

Фотографии, конечно, интересны и сами по себе - учитывая, что по ним видна география поездок и т.п., но более интересны комментарии, сделанные к фотографиям другими пользователями vkontakte.ru.

Учитывая тот факт, что профиль, сам по себе, ограничен в доступе только «друзьями», эти комментарии особенно
полезны для определения связанных с владельцем профиля людей,  а это может навести на следы других фигурантов, стоящих за ботнетом Koobface, если предположить, что они знакомы друг с другом и общаются между собой в социальных сетях.

К сожалению, не удалось найти никаких подобных связей, однако один комментарий, сделанный Олесей Л. (Olesya L.), представил некоторый интерес благодаря тому факту, что профиль Olesya L. на сайте vkontakte.ru был в более свободном доступе и там можно было просмотреть несколько фотоальбомов. При просмотре альбомов обнаружились снимки Олеси Л. и Антона К. в таких обстоятельствах, которые наводили на мысль о существовании между ними связи.

Хоть и оказалось возможным подробно исследовать социальные связи «Krotreal», не удалось найти никаких дополнительных свидетельств, подтверждающих предположение о его личности - предположение, что «Krotreal» является Антоном К., все же нуждается в дополнительных подтверждениях.

Получение доказательств, подтверждающих идентификацию личности - трудное дело, потому что данные Whois, профили и т. п. можно подделать. К счастью, один из обнаруженных адресов e-mail показывал, что Антон К. имеет отношение к компании с названием MobSoft  - был или остается сотрудником, фрилансером или даже владельцем этой компании.

Внутри фирмы Koobface

Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg).

Банда Koobface арендует офисы на верхнем этаже этого здания в Санкт-Петербурге. Обратите внимание, в этом здании помещаются и другие компании, не имеющие никакого отношения к киберпреступности.

Компании - интересный объект для изучения во время проведения подобных расследований, поскольку обычно они должны регистрироваться в государственных и налоговых органах, по закону они обязаны представлять отчетность и т. д.

Более того, компании обычно содержат
публичные Web-сайты, где приводится информация об истории компании, прежнем и нынешнем руководстве, а также могут быть интересны комментарии сотрудников на странице «Карьера».

В случаях, когда подозреваемый является владельцем или совладельцем компании, весьма вероятно, что о нем удастся получить достоверную информацию, поскольку его документы обязательно регистрируются при регистрации самой компании.

Но пусть даже некоторые сотрудники или владельцы компании, возможно, вовлечены в противозаконную деятельность, их этого автоматически не вытекает, что вовлечена компания в целом.

Впрочем, исследование MobSoft быстро завершилось, поскольку домен mobsoft.com не приводил на корпоративный сайт этой компании. Запросы к поисковикам не дали никаких уверенных
результатов, и даже еще больше запутали все дело, потому что нашлось очень много организаций с названием MobSoft.

Тем не менее, один след нашелся - в строке копирайта на сайте incall.ru утверждалось, что это совместная
разработка компаний «UPL Telecom s.r.o» и «MobSoft Ltd.»,  причем название  «MobSoft Ltd.» содержало ссылку на сайт mobsoft.eu.

«UPL Telecom s.r.o» - это чешская компания, которая напрямую или опосредованно предоставляет хостинг «базовому» серверу  ботнета Koobface.

На страницах сайта www.mobsoft.eu компания MobSoft Ltd. описывает себя, как фирму, специализирующуюся на разработке и распространении ПО для мобильных устройств и сервисов. Если верить сайту, компания располагает двумя офисами: один находится в Чешской республике, второй - в Санкт-Петербурге, Россия.

Хотя сайт mobsoft.eu расположен на том
же сервере, что и «база» Koobface, не было никаких доказательств, что сайты mobsoft.com и mobsoft.eu имеют отношение друг к другу.

Дополнительные исследования, однако, позволили получить кэшированные файлы, относящиеся к неработающему сайту mobsoft.com, в том числе логотип компании и описание продукта компании, названного «Mobile Casino Management System» (Система управления казино для мобильных устройств), что позволяло предположить, что оба сайта
принадлежат одной и той же компании.

Адрес в Санкт-Петербурге, упомянутый на сайте MobSoft, не дал никаких дополнительных результатов, в отличие от чешского адреса, по которому сервис Google Streetview показывает место в жилом районе Праги, и поиск по которому дает массу компаний, зарегистрированных на этот адрес, в том числе три компании, имеющих отношение к Mobsoft.

Чешское правительство содержит портал, при помощи которого можно легко найти данные о любой компании, такие, как вид деятельности,  зарегистрированные адреса и подробности относительно владельцев и совладельцев.

Для зарегистрированных физических лиц приводятся даты рождения и номера паспортов. Просматривая сведения о компаниях, мы обнаружили Антона К. в качестве владельца одной из них, что доказывало, что «Krotreal» - это действительно Антон К. из Санкт-Петербурга, Россия.

Аналогичные поиски были предприняты в
отношении регистрационных данных компаний в Санкт-Петербурге, а также в Соединенном Королевстве и на острове Мэн. Последние два пункта добавились по той причине, что в постах на форуме речь идет совместном британо-российском предприятии, и упоминается компания «Compact Disc India», приобретенная MobSoft (Mobile Software Limited), причем центры разработки этой компании располагаются в Соединенном Королевстве и в Санкт-Петербурге. Эти следы, пусть и интересные, ни к чему, впрочем, не
привели.

Трудности транслитерации — МобСофт

Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg).

Дело Koobface явно имеет сильные связи с  Россией или Восточной Европой, а это значит, что важным фактором в расследовании становится язык.

Простой поиск строки «MobSoft» на
сервере российской Налоговой службы не дал никаких результатов, но поиск с использованием правильных кириллических символов, «МобСофт», оказался успешным.

То же самое относится и к поисковым системам, таким, как Google или Yandex, или к поиску в социальных сетях. Важно понимать при этом, что автоматическая транслитерация имен подозреваемых или даже транслитерации, выбранные ими самими, могут дать при поиске неверный результат или не дать результата вообще.

Поиски с использованием строки «МобСофт»
не только подтвердили существование этой компании, зарегистрированной в Санкт-Петербурге, но и привели к российскому порталу, продающему информацию о предприятиях. По данным этого портала владельцем компании Mobsoft, расположенной в Санкт-Петербурге, является Роман К. (Roman K.).

Это имя уже известно нам в связи с чешской регистрацией Mobsoft. Дальнейшие исследования привели нас также к различным резюме на сайтах поиска работы, где компания MobSoft указывалась в качестве прежнего места работы - например, резюме графического дизайнера. Хотя это лицо  не имеет отношения к Koobface, на сайте имеются образы его творений, например, корпоративный дизайн MobSoft.

Чрезвычайно интересным оказалось объявление о приеме на работу, размещенное неким Александром К.
(Alexander K.), представившимся сотрудником компании, и указавшим для контакта номер телефона,  который фигурировал в скрипте по отсылке статистики Koobface через SMS-сообщения!

Подробной информации об Александре К. немного. Точно так же, как и в случае с «Krotreal», доступ к его профилю на сайте vkontakte.ru, оказался ограниченным.

Тем не менее, там доступно фото
Александра К. Также он оставил комментарии на «стенах» многих других пользователей vkontakte.ru, возможно, тоже членов шайки Koobface. Попытки найти о нем более подробные сведения пока к успеху не привели.

В нескольких его профилях он пользуется другими никами - «floppy», «megafloppy» и «darkfloppy». Профили с такими никами можно найти в различных социальных сетях, например, в LiveJournal.

Если учесть фотографию в этом профиле, дату рождения, ссылку на Санкт-Петербург и предпочитаемые языки программирования, он вполне может иметь отношение к программистской
деятельности этой шайки.

Тут, впрочем,  важно заметить, что номер его мобильного телефона был закомментирован в скрипте, отсылающем статистику через SMS. Как и «PoMuC», он является акционером «Paytelecom
a.s.», еще одной чешской компании, найденной при поисках в чешском реестре компаний.

При дальнейших поисках обнаружилось еще одно предложение работы, размещенное Александром К., но на этот раз он
дал для контактов городской петербургский номер «+7 (812) <пропуск> 31».

Номер этот в точности совпадает с номером мобильного телефона с той лишь разницей, что вместо кода
оператора мобильной связи указан код города. Конечно, это может быть и опечаткой или совпадением, однако мобильные номера с кодом города вместо кода мобильной сети действительно существуют и считаются более престижными.

Следуя далее такой же логике, оказалось возможным найти след и другого номера, упоминающегося в том статистическом скрипте Koobface - речь идет о номере Романа К. (Roman K.), а номер фигурирует также в записи Whois для домена highspeed.ru,
принадлежащего ему.

domain: HIGHSPEED.RU
nserver: ns.masterhost.ru.

nserver: ns1.masterhost.ru.
nserver: ns2.masterhost.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Roman K.
phone: +7 812 <пропуск>99
e-mail: andrew@elitum.com
registrar: RUCENTER-REG-RIPN
created: 2003.09.26
paid-till: 2011.09.26
source: TCI

Аналогичным образом был произведен поиск в сети vkontakte.ru по строке «МобСофт», что позволило дентифицировать
еще  два профиля, - один принадлежит пользователю «Vladimir XD»  (о котором никакой дополнительной информации найти не удалось), а владельцем второй оказался некто Святослав П. (Svyatoslav P).

Друзья и семья — слабый след к Koobface

Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg).

Если
Антон К. («Krotreal»), Александр К. и Роман К. идентифицированы, как подозреваемые в участии в шайке Koobface, то еще несколько ников и лиц остаются нераспознанными.

Один их них - «PoMuC»,  его номер ICQ приведен на странице контактов сайта babkiup.com. Его профиль ICQ сам по себе уже  дает некоторую информацию.

Мы начнем с имени «Роман» и связи с MobSoft, сочетая это с датой рождения и связью с Санкт-Петербургом. Имя и дата рождения совпадают с данными  Романа К., указанными в чешском реестре.

Нашлось лишь несколько профилей, имеющих отношение к нику «PoMuC», а те, что были найдены, оказались скудными на подробности.

Кроме нескольких адресов e-mail, обнаружилась связь с компанией под названием «Elitum Ltd.», которая занималась разработкой приложений для мобильных телефонов (азартные игры и т.п.), и которая была очень похожа на  MobSoft.

Некоторые из продуктов Elitum, например, ElitePassword, можно и сейчас еще найти в Internet.

Сама же компания, по всей видимости, растворилась в воздухе, а сайт ее уже давно не работает.

Тем не менее, несколько адресов e-mail все еще можно найти, такие, как {andrew|psviat|akolt|support|4spam}@elitum.com.

Среди них виден ник «psviat», который,
кроме прочего, был использован при регистрации домена «mobsoft.eu». Имя, которое указали при регистрации, было - «Syvat P.», что вполне может быть сокращением от «Svyatoslav P.».

Другой профиль, принадлежащий, как
выяснилось, нику «akolt», относится к Александру К., владельцу компании «MobSoft IT consulting s.r.o.». Наконец, адрес andrew@elitum.com использовался Романом К.  при регистрации домена highspeed.ru.

При наличии столь немногих деталей, был проведен поиск в сети vkontakte.ru  по имени Роман К., а результаты поиска - найденные профили - были изучены.

К сожалению, ни один из этих профилей не походил или был просто недоступен.

Могло показаться, что поиски зашли в тупик, однако не следует недооценивать такие следы, как друзья и семья.

Из чешского реестра известно, что совладельцем одного из предприятий MobSoft является некто Мария К. (Maria K.).

Поиск имени Мария К. в сети vkontakte.ru  привел лишь к одному совпадению. К счастью, ее профиль допускал максимально широкий публичный доступ, включая фотоальбомы, списки друзей и т. д.

Здесь, в списке «друзей» и на нескольких фото,  мы нашли не только Романа К., но также и Антона К. Из изучения этого профиля становится ясным, что Мария и Роман женаты, и у них есть
дочь.

Теперь, когда лицо Романа К. нам знакомо, становится возможным связать двух «последователей» учетной записи «Krotreal» на  Twitter (это spb_roman и ru_roman) с Романом К, - на аватарах обеих этих учетных записей изображен он.

Это дает нам также два дополнительных ника, которые использует Роман К. и это можно в дальнейшем использовать тоже.

При изучении фотографий, выложенных на свою страницу Марией К., обнаружилось, что их семья проводит выходные совместно с Антоном К., что подразумевает близкие отношения между ними.

Факторы семьи и друзей в социальных сетях также сыграли свою роль при расследовании в отношении Святослава П., ник «psviat». Хотя его профиль на сайте vkontakte.ru доступен
публично, его фотоальбомы оказались недоступными. Однако, несмотря на то, что Святослав П. и не помещает в открытый доступ свои фото сам, другие пользователи выложили более 95 фотографий, которые они маркировали, как связанные с ним и его профилем.

Таковы внутренние свойства социальных сетей, в которых трудно ограничивать информацию о себе, поскольку , если ты не разместишь свои фото сам, это могу сделать за тебя семья и «друзья». Анализ фотографий показывает, что не очень давно он женился на Светлане Д., которая, в свою очередь, оказалась знакомой Марии К.

Его список «друзей» показывает, что он знаком, как с ранее обсуждавшимися Марией и Романом К., так и с Антоном К.

Связывание ников «psviat» и «PsycoMan» с личностью Святослава П. стало возможным в результате исследования различных профилей. Хотя его связь с делом Koobface не вполне еще ясна, обстоятельства наводят на мысль, что он мог участвовать в работах над программным обеспечением.

Также может быть установлена его связь с адресом e-mail  «ha-xep@.ru», который фигурировал в различных темных историях, таких, например, как дело по домену setup.bestmanage.org, который некогда размещался потому же IP-адресу, что и сайт mobsoft.com в пределах сети UPL Telecom.

Без секса не обойтись

Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg).

Благодаря фотографиям Святослава П. и его жены из фотоальбомов на сайте vkontakte.ru стало возможным идентифицировать их на фото участников конференции AWM (Adult Web-Master, Вебмастера сайтов «для взрослых»), проходившей   в 2009 году на Кипре.

На сайте «FUBAR Webmaster» имеются архивные фотографии, отражающие различные события в жизни порно-индустрии, и среди них нашлись фото этой пары.

Порно-индустрия (особенно, это относится к России), очень часто появляется на сцене при расследовании киберпреступлений, поскольку подозреваемые очень часто имеют отношение к бизнесу «взрослых развлечений».

Тому есть несколько причин, и это никоим образом не означает, что сообщество вебмастеров сайтов «для взрослых» в целом имеет отношение к вредоносной деятельности.

Поскольку крайне маловероятно, чтобы киберпреступники начинали свои карьеры с пустого места, очень часто оказывается, что вначале они бывают заняты в порно-индустрии, осваивают модели «партнерок», привыкают к торговле трафиком и т. д.

Но нестабильность этой сферы и желание будущего преступника зарабатывать денег больше и быстрее толкают его по направлению к красной черте, и он, в конце концов, переходит к более вредоносным видам деятельности.

Не следует забывать кроме того, что доверие к партнерам на подпольном рынке - вещь, не менее важная, чем на рынке легальном. А ряд ежегодных событий в жизни сообщества порно-индустрии предоставляет прекрасную возможность установить личные отношения с потенциальными партнерами, и в этом может крыться еще одна причина того, что порно-индустрия постоянно встречается на пути расследований по киберпреступлениям.

Вебмастеры сайтов «для взрослых» в Санкт-Петербурге

Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg).

Родившийся в 1962 году Станислав А. (известный под никами «LeDeD», «DeD», «Ded Mazai» и «zoro_ru»), лет на 20 старше остальных участников банды Koobface, и он оказывается последним и наиболее интересным подозреваемым в этом расследовании.

Хотя и удалось найти несколько его профилей на разных сомнительных форумах наподобие crutop.nu, master-x и umax, в этих профилях содержится мало информации, кроме номера ICQ  и заявления, что он «в деле с 1999 года».

В одном из постов на форуме
www.master-x.com, подписанном ником «DeD» содержалась ссылка на страницу, расположенную на сайте с названием 99livecam.

Проход по этой ссылке приводит посетителя к древней истории петербургских вебмастеров «для взрослых», а именно на главную страницу сайта «Объединенный клуб "взрослых” вебмастеров Санкт-Петербурга», датированную 2000 годом.

На этом сайте есть фотографии с самых
первых клубных встреч. Кроме того, на сайте клуба вебмастеров есть раздел с названием «Ded Mazai» - ник, найденный в ICQ-профиле «PoMuC».

Можно предположить, что термин «Mazai Team» обозначает некую группу «взрослых» вебмастеров в Санкт-Петербурге.

Также на сайте нашлась ссылка на форумную дискуссию, связанную с  использованием печально известного шпионского ПО CoolWebSearch (CWS). Дальнейший анализ форумных постов дал определенную информацию об использовании CWS в прошлом, а также об отношении, которое имеют к нему российские вебмастера «для взрослых» - то есть, опять обнаружилась взаимосвязь, обсуждавшаяся выше.

Потому неудивительно было обнаружить, что Станислав А. связан, как с использованием шпионского ПО CWS, так и с
использованием эксплойтов, и с мошенничествами типа PPC (Pay per click, плата за щелчок), и др.

Исследование архивных профилей и регистрационных записей Whois позволило, в конце концов, раскрыть его имя: вот, например, архивная регистрационная запись whois для домена dnserror.org, который часто упоминался в различных дискуссиях по поводу вредоносных сайтов.  В одной из  таких дискуссий был приведен архивный текст уже не существующей записи, который приписывает Станиславу А. регистрацию в Праге:

Registrant Name:Stanislav A.

Registrant Organization:no
Registrant Street1:P5,
Registrant City rague

Registrant State/Province:CZ
Registrant Postal Code:15200
Registrant Country:CZ
Registrant Phone:+420<пропуск>
Registrant Email:zoro_ru@<пропуск>.com

Имя Станислава А. также промелькнуло в расследовании по Роману К. и Александру К., поскольку все трое являются совладельцами «Paytelecom s.a.», еще одной чешской компании.

Запрос к чешскому реестру компаний по строке имени «Stanislav A.», раскрывает еще одну компанию, владельцами которой являются Станислав А., его жена и дочери.

Вас может удивить, зачем было регистрировать свою семью в качестве совладельцев компании, но в Чешской республике владение компанией значительно упрощает оформление карт Visa и другие вещи, а также, по прошествии определенного времени, дает право на постоянное жительство - видимо, это и было причиной в данном случае.

Используя всю эту информацию, можно теперь установить связь между ником «Ded Mazai» и Станиславом А. Профиль «Ded Mazai» на сайте vkontakte.ru содержит в списке «друзей» его жену и дочь, а также Антона К. и Романа К.

Станислав А. выложил даже несколько фото. На одном из них он изображен на конференции AWM Open в 2005 году. Также, на Google Picasa, у Станислава А. в публичном доступе имеется фотоальбом с сотнями фотографий.

Один из этих фотоальбомов оказался особенно интересным, поскольку на его фотографиях изображены все подозреваемые, упомянутые выше, вместе с женами и подружками, собравшиеся на рыбалке.

Фотографии всех подозреваемых членов Koobface, собравшихся вместе - и даже со своими семьями - сюжет, который повторяется в многих их альбомах, находящихся в открытом доступе.

Одно из таких документированных коллективных путешествий начинается в Египте, продолжается в Испании, Ницце, Монте-Карло, и завершается в казино в Баден-Бадене в Германии - игра, по всей вероятности, ведется на деньги, украденные у их жертв.

Роман К., Святослав П., Александр К., Антон К. и Святослав А.  Ведут жизнь богатых и знаменитых людей…

Важно, конечно, подчеркнуть, что все упомянутые выше лица не были официально обвинены в принадлежности к банде Koobface, и не были признаны виновными в каких-либо преступлениях.

Все имеющиеся улики переданы в руки правоохранительных органов, и нам остается только ждать - будут ли предприняты какие-либо действия в отношении банды Koobface?

Благодарности:
Авторы этого расследования хотели бы поблагодарить людей из многих организаций за помощь в сборе информации о Koobface, а особенно:

• Команду по безопасности Facebook
• Гэри Урнера (Gary Warner)  - из UAB Center for Information Assurance and Joint Forensics Research
• Клаудио Гварнери (Claudio Guarnieri) - из iSIGHT Partners
• Отдел исследования угроз в Trend Micro
• Infowar Monitor
• Томаса из CERT
• CSIS Security Group A/S
• И многие правоохранительные органы по всему миру.
•