25 Августа 2014 16:08 25 Авг 2014 16:08 |

Поделиться

Расследование: Как происходил передел рынка подпольной онлайн-фармацевтики

В материалах уголовного дела о Ddos-атаке на «Аэрофлот», заказчиком которой был признан владелец платежной системы Chronopay Павел Врублевский (вышел из колонии весной 2014 г. по УДО), содержится информация о партнерской онлайн-сети по подпольной продаже фармацевтических препаратов RX-Promotion. На допросах в ФСБ гендиректор компании «Технические решения» Юрий Кабаенков (сетевой ник Hellman) признал, что сеть принадлежала ему и Врублевскому.

Кабаенков рассказал, что он отвечал за техническую часть проекта и получал от 5% до 7% от продажи каждого лекарственного препарата, зарабатывая таким образом от $10 тыс. до $15 тыс. в месяц. Хакер Игорь Артимович, признанный судом исполнителем Ddos-атаки на «Аэрофлот», также признал, что сеть RX-Promotion принадлежала Врублевскому и Кабаенкову. По его словам, через сеть продавались такие препараты, как фентермин, викодин, кодеин, валиум, трамадол, ултрам, сома, лунеста, аддерал, оксикодон, оксиконтин, гидрокодон и др.

Хакеры на службе фармацевтики

Игорь Артимович и его брат Дмитрий (также был осужден за участие в Ddos-атаке) ранее работали в других партнерских программах, в частности, занимались развитием сети Glavmed, создателем которой считается экс-совладелец Chronopay Игорь Гусев. С целью рассылки спам-сообщений с рекламой фармацевтических препаратов братья Артимовичи создали вредоносное программное обеспечение Topol-Mailer: устанавливаясь на компьютеры жертв, оно создавало бот-сеть для распространения спама.

Будучи недовольными сотрудничеством с Glavmed, братья Артимовичи через форум «серых» веб-мастеров CruTop вышли на связь с неким человеком под ником RedEye (они уверены, что это был Врублевский). Чтобы продемонстрировать ему свои возможности, братья в начале 2010 г. с помощью все того же Topol-Mailer произвели успешную Ddos-атаку на сервер RX-Promotion.

Согласно показаниям Артимовичей и Кабаенкова, после этого Врублевский устроил встречу между ними. Но Кабаенков заявил, что программное обеспечение RX-Promotion не требует доработок, и в услугах Артимовичей он не нуждается. Тем не менее, между Врублевским и Артимовичами началось сотрудничество.

В материалах уголовного дела говорится, что в 2010 г. Врублевский поставил задачу сотруднику службы безопасности Chronopay Максиму Пермякову организовать Ddos-атаку на платежную систему «Ассист», обслуживавшую «Аэрофлот». Атака была осуществлена с помощью Артимовичей через бот-сеть Topol-Mailer.

Игорь Артимович пояснил CNews, что он вместе со своим братом Дмитрием и Врублевским собирался запустить две новые партнерские программы по продаже фармацевтики: Minzdrav и MediCash. Для этих проектов требовались инвестиции, которые Врублевский согласился дать в обмен на участие Артимовичей в Ddos-атаке. Из-за ареста же летом 2011 г. всех четверых фигурантов по делу «Аэрофлота» новые партнерские сети не были запущены.

Украденная переписка

Показания Артимовича и Кабаенкова — не единственные свидетельства причастности Павла Врублевского к RX-Promotion. В распоряжение американского журналиста Брайна Кребса оказалась служебная переписка Chronopay, осуществлявшаяся через облачную intranet-систему Megaplan. Из нее следовало, что Chronopay курирует деятельность RX-Promotion, за которым стоят Hellman (то есть Кабаенков) и RedEye (считается ником Врублевского).

Отвечал за данный проект, согласно переписке, сотрудник службы безопасности Chronopay Станислав Мальцев (ник Heppner). Ранее Мальцев был следователем МВД и расследовал дело анонимного интернет-банка Fethard Finance. Врублевский проходил свидетелем по данному делу, но после перехода Мальцева на работу в Chronopay расследование заглохло.

В свою очередь, экс-совладелец Chronopay Игорь Гусев, находившийся в серьезном конфликте с Врублевским, выкладывал видео с вечеринки партнеров сети RX-Promotion. Ее вели Врублевский и Кабаенков. Также Гусев распространил записи телефонных переговоров Врублевского и Кабаенкова, обсуждавших дела RX-Promotion. Были выложены и записи переговоров других сотрудников Chronopay на соответствующую тему, в частности, Максима Пермякова, Станислава Мальцева и главного казначея Юлии Рокитской.

Помимо этого Гусев распространил и электронную переписку сотрудников Chronopay относительно RX-Promotion. В письмах часто говорилось о проблемах с платежными системами Visa и Mastercard, блокирующими транзакции за оплату лекарственных препаратов ограниченного распространения. В качестве одного из способов решения проблемы предлагалась осуществлять процессинг фармацевтики под аккаунтом интернет-магазина косметики.

В одном из писем сотрудница Chronopay Александра Созинова высказала опасение, что в ходе возможного обыска у нее могут изъять ноутбук с большим количеством конфиденциальной информации о Кабаенкове. В другом письме Юлия Рокитская уточнила, что прибыль от RX-Promotion делится поровну между Кабаенковым и Врублевским (то есть Кабаенков в своих показаниях занизил свою долю прибыли). При этом Рокитская отметила, что RX-Promotion пользуется услугами техподдержки Chronopay, поэтому доля Врублевского от прибыли сети в реальности больше половины. Если же Кабаенков узнает себестоимость этих услуг, то он может от них отказаться, писала казначей Chronopay.

Как делаются и делятся деньги

RX-Promotion торговала также и «контролами»: наркосодержащими лекарственными препаратами, оборот которых в официальной торговле ограничен. В связи с этим в 2011 г. Федеральная служба по контролю за оборотом наркотических средств даже провела рейд по одной из вечеринок веб-мастеров RX-Promotion в клубе Golden Palace.

Поскольку такая деятельность не является легальной, RX-Promotion и другие сети не могут создать каких-либо широко-раскрученных сайтов. Вместо этого организуются партнерские сети: любой желающий веб-мастер может войти в такую сеть и создать собственные «витрины». За каждого приведенного покупателя веб-мастер получает свой процент. Основной метод продвижения такой продукции — почтовый и поисковый спам.

По словам Игоря Артимовича, обычно веб-мастер получает около 40% от объема покупки. 13% уходит поставщикам продукции, 10% - процессинговой компании, обеспечивающей платеж. Около 7% партнерская сеть тратит на организационные расходы: сервера, call-центр, charge-back (возвраты платежей по фальшивым кредиткам, обычно на них приходится около 1-1,5%). Остальные 30% - это прибыль партнерской сети. В лучшие времена оборот Glavmed составлял порядка $10 млн в месяц.

Артимович говорит, что выгоднее всего продавать «контролы»: их покупают сразу крупными партиями, в среднем на $600. Это примерно в пять раз выше среднего чека на покупку виагры. Правда, «контролы» и сложнее всего продавать: далеко не все платежные системы готовы осуществлять соответствующий процессинг.

Война по всем фронтам

Павел Врублеский заявил CNews, что он не имел отношения к RX-Promotion. Между тем, несколько лет назад Врублевский сам рассказал широкой общественности о таком явлении, как подпольная онлайн-фармацевтика. В 2009-2010 гг. он активно обвинял своего бывшего партнера Игоря Гусева в создании крупнейшей на тот момент партнерской сети Glavmed. А поскольку для распространения продукции Glavmed широко использовал спам, Врублевский называл Гусева «спамером №1 в мире».

Фактически с подачи Врублевского в 2010 г. МВД возбудило уголовное дело в отношении Гусева о нелегальном предпринимательстве. В рамках дела в офисе Гусева были проведены обыски, сам он покинул Россию, а афилированная с Glavmed партнерская сеть Spamit прекратила существование. Позднее был арестован партнер Гусева Дмитрий Ступин.

Кроме того, у Glavmed украли базу данных об ее американских клиентах, которая была передана властям США. Когда же оперативники ФСБ изучали панель управления Topol-mailer, которая использовалась для атаки на «Аэрофлот», то обнаружили там следы Ddos-атак на целый ряд фармацевтических ресурсов, конкурирующих с RX-Promotion, в том числе и тех, что считались связанными с Гусевым: Glavmed.com, Spamit.com, Spamdot.us, Stimul-cash.com, Your-pials-online.com, Ehost.by, Spampeople.net и др.

Следы атаки на фармацевтические ресурсы со стороны Topol-Mailer нашел и Брайн Кребс, изучавший поведение данной Ddos-сети. Согласно приведенному Кребсом исследованию компании SecureWorks, Topol-Mailer (другое название — Festi) атаковал, в числе прочего, форумы gofuckbiz.com и armadaboard.com, предположительно принадлежавшие Гусеву. Среди жертв Topol-Mailer оказался и сайт RedEyeBlog, на котором Гусев размещал компромат на Врублевского.

Война за передел рынка подпольной онлайн-фармацевтики закончилась закрытием и Glavmed, и RX-Promotion. Впрочем, сам рынок остается: к примеру, на нем продолжают работать партнерские сети Stimul-Cash и RX-Partners, которые некоторые источники CNews связывают с программистом Леонидом Куваевым, отбывающим наказание в России за педофилию. Но для Врублевского война могла иметь более серьезные последствия, чем потеря одного из проектов.

Гусев не комментировал свое участие в Glavmed. Однако он выступал в защиту данной сети: Гусев указывал, что если с помощью Glavmed продавали, в основном, виагру, то через RX-Promotion распространяли наркосодержащие препараты.

Кроме того, Гусев активно рассказывал о темных сторонах бизнеса Врублевского. Как уже отмечалось, он организовал специальный сайт с компроматом на своего бывшего партнера, где распространял сведения о связях Врублевского с Fethard и RX-Promotion, с партнерской сетью по распространению жесткой порнографии PornoCruto, с форумом «серых» веб-мастеров CruTop и т.д.

Из материалов, публиковавшихся Гусевым, можно было сделать вывод, что у него хорошие источники в Chronopay. Гусев публиковал электронную переписку сотрудников компании, записи телефонных переговоров, сделанные с офисного коммутатора IP-телефонии, разного рода внутренние документы и т.д.

А в конце 2010 г. Гусев заявил, что произошедшая за полгода до этого Ddos-атака на «Аэрофлот» была заказана Врубелевским. Исполнителем же ее был Игорь Артимович с ником Engel. В подтверждение своих слов Гусев выложил электронную переписку, якобы принадлежащую сотрудникам Chronopay, согласно которой в дни атаки на «Аэрофлот» с электронных кошельков Chronopay в системе Webmoney на счет Engel переводилось по несколько тысяч долларов.

Уголовное дело о данной атаке ФСБ возбудило лишь в мае 2011 г. Причем в его основу легла как раз эта самая переписка. Как заявлял в суде один из руководителей Центра информационной безопасности (ЦИБ) ФСБ, занимавшийся данным делом, изначально эта переписка оказалась в руках оперативников в рамках другого дела — о нелегальной торговли фармацевтическими препаратами в интернете.

С помощью «оперативных возможностей» в системе Webmoney сотрудники ФСБ вычислили IP-адрес, использовавшийся Артимовичем. Через запрос к соответствующему провайдеру стало понятно, кто пользуется данным подключением. Далее, установив перехват трафика с его интернет-канала, оперативники вычислили факт захода на панель управления Topol-Mailer и перехватили логин и пароль от нее. Экспертиза Group-IB подтвердила, что Topol-Mailer — бот-сеть, через которую можно было атаковать «Аэрофлот». Таким образом и было раскрыто дело о Ddos-атаке «Аэрофлота».

Между тем, Брайн Кребс, изучая электронную переписку между Игорем Гусевым и Дмитрием Ступиным, обнаружил в ней интересный пункт. Якобы, пытаясь отомстить Врублевскому за проблемы Glavmed, осенью 2010 г. Гусев заплатил за начало расследования в отношении Игоря Артимовича ($20 тыс. якобы ушло на оплату работы экспертов-криминалистов, еще $30 тыс. были заплачены непосредственно за открытие уголовного дела). Вышеописанные оперативные мероприятия ФСБ и экспертиза Group-IB прошли как раз в тот период времени.

Источник CNews в ФСБ, близкий к данному делу, называет версию о заказе со стороны Гусева «паранойей Врублевского». «Мы действительно вызывали к себе Гусева, но к делу Врублевского он не имел отношения и никаких материалов нам не передавал», - уверяет источник CNews.

Бывший топ-менеджер Chronopay также уверен, что Гусев не только не имел отношения к делу Врублевского, но даже не был первоисточником публиковавшегося им компромата. «Гусев был фигурой, через которую «высшие силы» подавали сигналы Врублевскому», - полагает он.

Игорь Королев

Поделиться

Подписаться на новости Короткая ссылка