Mega-D - не крупнейшая и не последняя сеть "зомби-компьютеров" - эксперты
4 декабря 2010 года

Сеть Mega-D, состоявшая из более 500 тысяч зараженных вирусом компьютеров, которые ежедневно рассылали до 10 миллиардов спам-писем, - не самая большая и не последняя из существующих, полагают опрошенные эксперты.

Владелец Mega-D россиянин Олег Николаенко в пятницу предстал перед американским судом, заявив о невиновности.

"По современным меркам, бот-нет в 500 тысяч компьютеров - не очень большая сеть, хотя пик ее активности пришелся на 2008 - 2009 годы, а для того времени это не так уж мало. Сегодня существуют гораздо более обширные бот-сети, однако они, как правило, не используются активно целиком. Какие-то части рассылают спам, какие-то - сдаются в аренду для организации DDoS-атак", - сказал Сергей Гордейчик, технический директор компании Positive Technologies, занимающейся вопросами информационной безопасности.

Эксперт отметил высокую вероятностью того, что Mega-D была одной из крупнейших среди тех, что специализировались на рассылке спама. В определенные моменты она рассылала треть всего регистрируемого (то есть отслеживаемого фильтрами) спама, утверждает Гордейчик.

"Пятьсот тысяч компьютеров - это нормальная цифра для бот-нета. Именно с таким количеством зомби-машин злоумышленники могут что-то заработать", - сказал генеральный директор компании Group-IB Илья Сачков (специализация - IT-безопасность).

По словам эксперта, в ведении Доцента (прозвище Николаенко) могли находиться еще несколько бот-нетов (не менее трех), объединяющих в сумме еще примерно 500 тысяч компьютеров.

"С точки зрения следствия удобнее было взять именно этот (Mega-D) бот-нет, найти доказательства, связывающие его с Николаенко и построить на их базе обвинение, что и сделали американские спецслужбы. Если не ошибаюсь, им помогли показания одного из подозреваемых в подобном нарушении, Аткинсона", - добавил Сачков.

Ассошиэйтед Пресс также утверждает, что собрать доказательства против Николаенко помог один из его партнеров по нелегальному бизнесу Лэнс Аткинсон (Lance Atkinson). По данным ФБР, за шесть месяцев Николаенко получил от Аткинсона 459 тысяч долларов.

Эксперты считают, что реальные заработки спамера измерялись гораздо большими суммами.

"Владелец такой сети, как Mega-D, может зарабатывать десятки тысяч долларов в месяц. А месячный оборот может доходить до 500 тысяч долларов", - сказал Сергей Гордейчик.

Илья Сачков считает, что ежемесячный доход спамера достигал 500 тысяч долларов, и источники этого дохода не сводились к рассылке спама.

"Не совсем правильно считать его только спамером. Спам для него - лишь средство достижения цели. В задачу Николаенко входило не столько рассылать спам по заказу, сколько оперировать с различными партнерскими программами, которые могут продавать что угодно: поддельные лекарства, часы, вредоносное программное обеспечение. Продавая такой товар с помощью спама, он получал комиссионные. Ему было все равно, что продавать, но самый большой доход в Сети приносит продажа поддельных медикаментов и контрафактной продукции вроде подделок часов Rolex", - сказал Сачков.

Олег Николаенко предстал перед федеральным судом американского города Милуоки (штат Висконсин) по обвинению в нарушении закона о борьбе со спамом в пятницу. По словам председателя Московской коллегия адвокатов "Николаев и партнеры" Юрия Николаева, российское гражданство обвиняемого не станет препятствием для американского правосудия.

"По американским законам, судебному преследованию может быть подвергнут гражданин любой страны, если он совершил преступление против США. Николаенко называют "королем спама", он занимался рассылкой спам-сообщений, которые в том числе приходили американским пользователям. А это по американскому закону является преступлением", - сказал Николаев.

Привлечение к суду владельца бот-нета, подобного Mega-D - прецедент, который может породить тенденцию, считают эксперты.

"Доказать в состязательном суде обвинение в рассылке спама с помощью бот-нета, безусловно, возможно, несмотря на то, что злоумышленники применяют весьма изощренные приемы для того, чтобы не быть обнаруженными. В развитых странах с правильно и активно работающими правоохранительными органами это вполне реально. "Лаборатория Касперского" сотрудничает в этом с властями", - сказал руководитель российского исследовательского центра "Лаборатории Касперского" Сергей Новиков.

По мнению директора Ассоциации "РусКрипто", коммерческого директора компании "Актив" Дмитрия Горелова, на наших глазах начинается новый этап противодействия злоумышленникам из компьютерного андеграунда.

"Например, теперь заметно чаще собираются международные конференции специалистов государственных структур, аналогичных нашему управлению "К". Поиск киберпреступников - наполовину техническая, наполовину обычная оперативная работа. Механизм поиска понятен: надо смотреть, кому преступление выгодно, отслеживать финансовые потоки. "Бизнес" тут огромный, миллиарды долларов. Те, кто пишут вирусы с целью создания бот-нетов, очень тщательно маскируются, поэтому проще бывает найти их заказчика", - сказал эксперт.

Горелов отметил, что киберпреступники постоянно усложняют свои технологии. В частности, появились вирусы-трояны, которые устанавливаются только на производительные компьютеры - чтобы замедление их работы, неизбежное при заражении, не было заметно.

По данным исследования компании Microsoft, в США только за первую половину 2010 года в бот-сети было вовлечено 2,2 миллиона компьютеров.

По информации "Лаборатории Касперского", в третьем квартале этого года доля спама в мировом почтовом трафике составила 82,3%.