Корпорация Microsoft обвинила российского программиста Андрея Сабельникова в создании компьютерной зомби-сети Kelihos.
Данные Сабельникова указаны в жалобе, которую американская корпорация направила в федеральный суд Восточного округа Вирджинии. Microsoft обвиняет программиста в мошенничестве, нарушении закона о борьбе со спамом, закона о защите электронных систем связи, закона о торговых марках, посягательстве на движимое имущество граждан США, неправомерном обогащении и незаконном использовании чужого имущества в собственных целях.
Под контролем ботнета Kelihos находилось порядка 41 тысячи зараженных компьютеров с которых рассылалось около 3,8 млрд спам-сообщений ежедневно. Это немного для масштабов нелегальной интернет-индустрии. Ущерб от ботнета только по обвинению в мошенничестве Micrоsоft оценивает в $5 тысяч за год. Общий объем требований пока в материалах суда не фигурирует.
Microsoft удалось добиться снижения активности ботнета в сентябре 2011 года в рамках программы MARS (Microsoft Active Response for Security). В нейтрализации спам-сети принимала участие и российская Лаборатория Касперского, которая отслеживала ее действия с начала 2011 года.
«Kelihos использовался не только для рассылки спама, но и для кражи личных данных, проведения DDoS-атак и других видов криминальной деятельности», — отмечает производитель антивирусов.
Тогда корпорация указала в числе причастных к ботнету 22 фигурантов среди которых были чешское общество с ограниченной ответственностью dotFree Group s.r.o. («dotFree Group») и физическое лицо Доминик Александр Пьятти. Их вычислили по доменам cz.cc, которые использовались для проникновения в компьютеры.
Предполагается, что Сабельников купил у Пьятти 3723 домена cz.cc и использовал их для обеспечения работы Kelihos. Корпорации также известно, что россиянин «писал и/или участвовал в создании вредоносного программного обеспечения для ботнета Kelihos», что он «владеет, управляет, контролирует и поддерживает ботнет Kelihos», а также развивает его путем заражения компьютеров.
По данным Microsoft, в настоящее время Сабельников проживает в Санкт-Петербурге, закончил факультет вычислительных систем и программирования Санкт-Петербургского государственного университета аэрокосмического приборостроения. Ранее он был «инженером-программистом и руководил проектом в компании, которая производила системы безопасности, ативирусы и программное обеспечение системы безопасности». В настоящее время фрилансер в компании по разработке программного обеспечения.
В социальных сетях указан профиль пользователя, совпадающий с данными Microsoft. Андрей Сабельников, выпускник СПбГУАП и экс-сотрудник антивирусной компании, зарегистрирован в «Моем круге». Он учился в университете с 1998-го по 2003 год, с сентября 2005 года по декабрь 2007 года работал инженером-программистом в компании Agnitum, производящей антивирусы, а с декабря 2007-го по ноябрь 2008-го курировал там проект. На сайте компании указано, что Agnitum Ltd. зарегистрирована на Кипре.
Настоящее место работы Сабельникова указано в его профайле как «0**** софт». Связаться с ним в среду для подтверждения или опровержения обвинений Microsoft не удалось.
В соответствии с данными профайла из «ВКонтакте» (с аналогичными биографическими сведениями), Сабельникову 31 год, у него есть собственный веб-сайт, но он не работает. Судя по фотографиям в альбомах из соцсети, он катается на сноуборде во Франции и Италии, отдыхает на Бали и в Женеве, увлекается фотографией. На фотохостинге photosight.ru опубликован ряд его фотосетов.
Один из друзей Сабельникова во «ВКонтакте», который утверждает, что знает его лично, характеризует программиста: «серьезный, целеустремленный парень с адекватным чувством юмора».
«Я не работал с ним как с коллегой, но ввиду общей профессиональной области я обращался к нему за советом, полагаю, что он весьма компетентен в технической специализации, больше чем уверен, что персональные качества также позволят ему руководить людьми, но тут я не могу привести примеров», — отметил он, подчеркнув, что «вряд ли он занимался бы» созданием ботнета.
В G Data Software пиринговый ботнет Kelihos заметили в конце 2010 года. Управляющий корпоративными продажами компании в России и СНГ Алексей Демин отмечает, что он состоял из фрагментов кода Waledac и Rustock и по количеству рассылаемых сообщений мог соперничать с этими ботнетами.
«Это могло принести его владельцу порядка $2 млн в день (из расчета средней стоимости 500 долларов за 1 млн сообщений на черном рынке). Тем более, насколько я знаю, некоторые участки ботнета сдавались в аренду, — подчеркнул он. — Это серьезная сумма для не самого крупного ботнета, и, как видно, это довольно прибыльный дополнительный бизнес для сотрудника компании по информационной безопасности».
Эксперт сомневается, что Сабельников понесет серьезное наказание, если его вина будет доказана: «Основной сложностью будет доказательство суммы причиненного ущерба или в некоторых эпизодах даже самого факт причинения такого ущерба».
«Ни в России, ни в США еще нет практики вынесения серьезного обвинительного приговора по факту распространения спама, — отмечает он. — Поэтому, скорей всего, Сабельников отделается небольшим условным сроком».