Как бы вы приступили к написанию хроники войны за контроль над подпольной империей, когда ни один из участников этой борьбы не желает признавать, что он воюет или что вообще война имеет место? Именно таков характер бизнес-вражды, вылившейся в настоящую войну между двумя крупнейшими незаконными фармацевтическими организациями в сети Internet.
В четверг я писал об анонимном источнике, использующем псевдоним «Despduck», и располагающим копией внутренней базы данных организации под названием «Glavmed», также известной под названием «SpamIt», которая до недавнего времени являлась самым крупным нелегальным распространителем лекарств общего назначения в Internet. База данных показывает, что Glavmed обработал 1,5 миллиона заказов от более чем 800 000 клиентов, которые купили пиратские версии отпускаемых по рецепту лекарств в период между маем 2007 и июнем 2010.
Despduck сам предложил данные Glavmed анти-спамовому сообществу для совместного использования, и заявил, что предполагаемому владельцу этой фармацевтической программы, российскому бизнесмену Игорю Гусеву (Igor Gusev), вскоре будет предъявлено обвинение в незаконной деятельности. И действительно, ближе к концу сентября 2010, российские официальные лица объявили о начале уголовного расследования в отношении Гусева и его бизнеса. Вскоре после предъявления обвинений сайт SpamIt.com был закрыт. Вследствие этого, объем спама, падающего в почтовые ящики всего мира, резко упал, видимо, потому, что у связанных с SpamIt.com лиц и организаций начался период перехода к другим фармацевтическим сетям.
Гусев ныне является беглецом из России; в своих нынешних невзгодах (а также в утечке данных Glavmed) он винит своего прежнего партнера по бизнесу и соотечественника, Павла Врублевского (Pavel Vrublevsky). Последний является основателем российского гиганта электронных платежей, ChronoPay, компании, в основании которой восемь лет назад участвовал и Гусев (согласно уставных документов, которые я получил от Торговой Палаты Нидерландов, где была зарегистрирована ChronoPay — в течение некоторого времени Гусев и Врублевский были равными по долям партнерами в ChronoPay).
Как сообщалось в моем посте ранее на этой неделе , десятки тысяч внутренних документов и сообщений e-mail, украденных у ChronoPay и попавших к определенным лицам, наводят на мысль, что Врублевский управляет конкурирующей онлайновой фармацевтической сетью под названием Rx-Promotion. Оказалось, что база данных Glavmed была украдена примерно в то же время, когда произошла утечка в ChronoPay.
Врублевский отрицает свою причастность к похищению базы данных Glavmed/SpamIt, но многие из документов ChronoPay наводят на мысль о противоположном. Среди них, например, есть сообщения на почтовый ящик (и от него) с отображаемым названием «Kill Glavmed» (Убить Glavmed). Какой же адрес e-mail был привязан к этому названию? «
[email protected]» - тот самый адрес, который использовал мой источник, борец со спамом.
Также, среди документов ChronoPay обнаруживается обширная переписка по e-mail, относящаяся к почтовому ящику с именем «vrublevsky», в которой ведется торговля с неким Нодером Товреансом (Nooder Tovreance). В этой длинной переписке, которая начинается 8 апреля 2010 и оканчивается в начале июня, Товреанс предлагает продать базу данных Glavmed за 20 000 долларов, но при этом оговаривает, что должен разбить файловые пересылки на множество частей ввиду размера базы. Переговоры оканчиваются на цене 15 000 долларов, причем первый платеж размером 7500 на кошелек Webmoney, указанный Товреансом, должен последовать после передачи половины файлов, а остающаяся сумма уплачивается после получения всей базы.
Сайт SpamIt.com, возможно, и исчез, но программа Glavmed все еще вознаграждает партнеров за продвижение фармацевтических сайтов. Тем временем онлайновые ресурсы Гусева подвергаются почти непрерывным атакам. Джо Стюарт (Joe Stewart), исследователь проблем безопасности в SecureWorks, недавно опубликовал документ в котором описал строение и деятельность крупнейших в мире спамовых ботнетов, или совокупностей взломанных ПК, используемых для спамовой рассылки рекламы нелегальных фармацевтических сайтов.
Один из спамовых ботнетов, упомянутых в анализе Стюарта, представляет собой сеть из 60 000 ботов, известную под именем «Festi». Этот ботнет был разработан на платформе для реализации распределенных атак типа отказ-В-обслуживании (DDoS), и недавно был замечен в проведении атак против русских сайтов. Я попросил у Стюарта список сайтов, в атаках на которые тот заметил участие «Festi»; список оказался коротким, он включал в себя шесть сайтов Glavmed/Canadian Pharmacy, а также gofuckbiz.com и armadaboard.com, форумы, которые Врублевский, как он несколько раз замечал, подозревает в принадлежности Гусеву. Еще один сайт, который, по наблюдениям Стюарта, стал объектом атак, был redeye-blog.com, ежедневный блог, который ведет сам Гусев, и где он обсуждает документы ChronoPay и сплетни по поводу Врублевского.
Источник - Krebsonsecurity на русском языке
Линейный вид
