Питерского инженера обвинили в создании ботнета Kelihos

width:200px

25.01.12, Ср, 12:42, Мск,
Текст: Сергей Мажаров

Компания Microsoft обвиняет россиянина в создании бот-сети Kelihos, хотя в его причастности и сомневаются отраслевые аналитики.

Microsoft обвинила российского инженера-разработчика систем безопасности в создании бот-сети. В соответствии с поданным корпорацией иском, с 2005 по 2011 год подозреваемый, которого компания определила как «Андрей Сабельников из Санкт-Петербурга», работал в паре компаний, действующих в области ИТ-безопасности.

Согласно профилю Сабельникова в соцсети LinkedIn, в течение последних шести лет он работал в двух российских компаниях, специализирующихся в сфере безопасности, в том числе в антивирусной фирме Agnitum (Агнитум). Центральный офис компании находится в Санкт-Петербурге. Agnitum разрабатывает и продаёт антивирусный продукт для Windows-систем, называемый OutPost Antivirus Pro, а также брандмауэр для персональных компьютеров под управлением ОС Windows. Представитель компании подтвердил, что Сабельников работал на их фирму с сентября 2005 года по ноябрь 2008 года.

Сабельников провёл ряд проектов, завершив свою карьеру в Agnitum в должности руководителя проектов, ответственного за всё, начиная от «проектирования архитектуры продукта» до «... написания важных фрагментов кода». Отвечая на вопросы по электронной почте изданию Computerworld, представитель Agnitum заявил, что Сабельников «уволился по собственному желанию в конце 2008 года».

С ноября 2008 года по декабрь 2011 Сабельников работал в другой российской компании - Returnil, которая также действует на рынке ПО защиты систем. Главный продукт Returnil - Virtual System Pro, клонирует действующую копию Windows на виртуальную машину в качестве способа защиты от вредоносных программ. Здесь в течение тех трёх лет Сабельников был ведущим инженером компании по исследованиям.

Последние два месяца А.Сабельников работал на консалтинговую компанию Teknavo, которая среди прочего разрабатывает программное обеспечение для финансовых организаций. У компании имеется офис в Санкт-Петербурге.

Детальная информация о карьере Сабельникова на LinkedIn зачищена и в настоящее время там указан лишь период времени, проведённый им в неназванном техническом колледже и Санкт-Петербургском государственном университете аэрокосмического приборостроения.

Первый иск по делу Kelihos Microsoft подала в сентябре прошлого года как часть работы по уничтожению бот-сети, контролирующей около 45 тыс. заражённых компьютеров и якобы рассылающей огромное количество спама пользователям во всём мире – до 4 млрд. сообщений в день. К тому моменту Microsoft выявила лишь Доминика Пьятти (Dominique Piatti), оператора чешского доменного хостинга dotFREE Group SRO, связанного ещё с 22 неизвестными подозреваемыми. Однако в октябре Microsoft отказалась от обвинений против Пьятти и dotFREE после достижения досудебного соглашения.

В иске, поданном в понедельник, Microsoft обвиняет Сабельникова в создании вредоносного ПО, используемого для заражения компьютеров и администрировании ботнета Kelihos. Компания заявила, что она идентифицировала Сабельникова посредством анализа вредоносных программ. «Вредоносное программное обеспечение компьютера, использовалось для управления ботнетом Kelihos и содержит информацию, которая идентифицирует ответчика и доказывает, что ответчик создал, осуществлял управление и контроль над ботнетом Kelihos», - говорится в тексте иска.

Ричард Боскович (Richard Boscovich), старший юрист подразделения компьютерных преступлений компании Microsoft, в корпоративном блоге попутно обвинил Сабельникова в регистрации более 3,7 тыс. субдоменов «cz.cc» на dotFREE, с помощью которых тот якобы управлял ботнетом.

Если обвинения Microsoft верны, возможно, Kelihos был создан Сабельниковым во время его работы в компаниях Agnitum и Returnil: впервые вредоносная система обнаружила себя в конце 2009 года.

Интересным аспектом этого дела является то, что многие эксперты в сфере безопасности связывают Kelihos с более старым вредоносным ПО, которое служило основой для ботнета Waledac, подавленного в начале 2010 года, также с участием Microsoft. По мнению экспертов, трояны Waledac и Kelihos имели общий код. Исследователи предположили, что впоследствии, вероятно, была попытка создания новой армады взломанных ПК после того, как прежняя пришла в негодность.

По мнению вице-президента по развитию компании Sourcefire Альфреда Хугера (Alfred Huger), хотя и возможно, что Сабельников создал Kelihos, используя информацию, полученную на своей работе, все же это маловероятно. «Полный обратный анализ не характерен для аналитиков [антивирусных], - сказал Хугер, ссылаясь на практику разбора частей программного обеспечения. - Полностью реконструировать вредоносную программу - это неслыханно, хотя и является обычной практикой для исключительно вредоносного ПО, уже заявившего о себе».

Профиль страницы Сабельникова в российской социальной сети Vkontakt, доступный несколько ранее, сейчас скрыт от публичного просмотра.