В Ивановский ЭЦС компьютер поступил на повторную экспертизу ввиду того, что первичная экспертиза была оспорена пострадавшей стороной – истца не устроил мягкий, по его мнению, приговор.

Причина преступления довольно банальна: житель Екатеринбурга Олег Черушенко, будучи в Бельгии по туристической визе, случайно, как он утверждает, в компьютерном супермаркете положил себе в карман несколько мелких компьютерных принадлежностей и забыл за них расплатиться. Эта случайность была замечена службой охраны, которая, впрочем, не предъявила никаких судебных требований, но просто данному гражданину больше не выдают визу на въезд ни в одну страну Европы.

Участь быть невыездным так сильно повлияла на психологию Черушенко, что он решил издалека отомстить обидчику. Ни много, ни мало, он объявил кибервойну Бельгии.

Механизм Интернет-вторжения довольно тривиален для нашего времени – массовая рассылка троянских программ, ожидающих своей команды. Но уровень исполнения заставит проникнуться уважением даже самых крутых хакеров.

Во-первых, качество самого червя таково, что он без команды никак не выдает себя, не вносит помех в работу компьютера и почти не обнаруживается аналитическими антивирусами. Даже стандартное подозрение на вирус, что в большинстве случаев затем регистрируется антивирусными базами, не является для червя «H» смертельным. Его код мутирует каждые 18 часов так, что за этот период ни один антивирус не успеет его заподозрить, прислать в тестовую лабораторию, поместить в антивирусную базу, проапгрейдить пользователям.

Далее – способ распространения. Вот он оказался банальным, сложным было только взломать сервер бесплатных программ, причем незаметно. Зараженные на нем установочные файлы скачивали сами пользователи благодаря рекламе, которую развернул неплохой знаток французского Олег Черушенко. По данным экспертизы одного из трех изъятых компьютеров под колпаком у хакера оказалось более ста тысяч французских и бельгийских компьютеров (французов хакер тоже посчитал врагами, т.к. они говорят на том же языке). Вообще вся деятельность обвиняемого сквозит серьезной идеологической направленностью: на диске очень много исторических справок по этим двум странам, карта уже пораженных точек, планы продвижения и т.д. Особая папка выделена под биографию Шарля де Голля. В общем, война велась со знанием дела и с некой понятной только «великому воину» идеологией.

Работа с зараженными компьютерами была построена просто гениально, она практически исключала какую-либо зацепку по IP-адресам и не требовала on-line присутствия. Сначала подопытный компьютер связывался со шпионским сервером, помещенным на бесплатном web-хостинге. Задействовано было более 70-и таких хостов. Они служили транзитом для перекачки данных. Когда зараженный компьютер выходил в Интернет, на этом сервере его ждала команда, которую он считывал и выполнял, закачивая уже на другой бесплатный хост свой ответ. Злой гений тоже не сидел круглосуточно за компьютером: когда хакер выходил в Интернет, он скачивал ответы жертв и выкладывал новые команды.

Если бесплатный хостинг по какой-либо причине оказывался недоступным, например, при обнаружения шпионажа, то троян автоматически переходил на резервные адреса. Мало того, список резервных адресов мог также меняться через сигнальные сервера – упрощенные Интернет-страницы, содержащие обычные ссылки, заподозрить которые уже маловероятно. Механизм отточен до совершенства!

Выкладывал хакер туда свои шпионские сервера через Интернет-кафе, которые все время менял, и никогда не повторялся. За один сеанс подсаживал до 10-и бесплатных хостингов. Но и это делалось с крайней осторожностью. Работа по созданию хакерской инфраструктуры велась из другого города – для этого он приезжал в Москву и использовал большое число Интернет-кафе. Но и любой акцент на Россию хакер тоже исключал. Друзьям, выезжающим за границу, он давал ссылку на программку, которую нужно было запустить в зарубежных Интернет-кафе и просил непременно посетить эти заведения с целью изучения заграничного Интернет-пространства. Таким образом, он подсаживал на контроль «вражеские» компьютеры в Интернет-кафе большого числа стран и управлял ими из Москвы. Такой транзит практически полностью исключал возможность поиска создателя шпионского сервера. На бесплатном хостинге фигурировали заграничные адреса, которые приводили в заграничные Интернет-кафе. Даже попытка пройтись по ним привела бы в Московские Интернет-кафе, в которых хакер появлялся только один раз, естественно не оставляя своих адресов. Идеальное преступление!

Сама шпионская программа крайне гениально подстраивалась под работу Internet Explorer, создавая дополнительную ветку, причем только в том случае, когда этих веток было много по запросу пользователя. К сожалению, на сегодняшних WEB-страницах так много всяких банеров, счетчиков и других инородных вставок, что лишняя ветка не вызовет подозрения. Трафик целиком и полностью маскировался под активность браузера, повышая полезный объем лишь на 10-20%. Поддерживалась докачка файлов. В общем, данные уходили и приходили по крупицам, собирались по нескольким дням и даже неделям. Но время не имело значения.

Установленный вирус содержал запрограммированную программу поиска документов, содержащих ключевые слова типа euro, $, номера кредитных карточек и прочие, даже слово sex.

Троян, поселившийся на чужом компьютере, генерировал уникальный код и отправлял его «командующему». Через несколько дней, убедившись в своей неприкосновенности, он считывал дерево директорий, находил интересные файлы и посылал добычу на просмотр в удобном виде. Клиентская часть настолько профессионально написана, что позволяет охватить огромный объем информации сразу. Интерфейс чем-то напоминает старый добрый Нортон-коммандер: все команды по скачиванию файлов, по запуску исполняемых программ и прочее можно выполнять почти также всего лишь несколькими движениями. Кроме того, каждому удаленному компьютеру «командор» мог присвоить свое уникальное имя и описание, а удобная систематизация позволяла создавать одновременно управляемые группы. Особо ценными для хакера были две группы Gouvernement (фр. правительство) и Sexe (фр. секс). Последняя, кстати, и подвела любителя чужих секретов.

Прокололся вояка всего один раз, но именно в этот раз особо точно. Прокололся, можно сказать, на вине и женщинах. Однажды в праздник, находясь за компьютером в нетрезвом состоянии, его потянуло на работу со своими жертвами и конкретно с категорией Sexe. Но ждать многодневного выполнения транзитной команды на скачивание интересующих файлов не хотелось. Единственный раз хакер вышел в эфир напрямую, единственный раз он использовал on-line клиент… но именно этот раз был поистине роковым. Администратор сети, из которой было выкачано более 30 Мб данных, хоть и на следующий день, но обнаружил пропажу. За несколько дней был выяснен провайдер хакера (в этот день работавшего из собственной квартиры), а через него и физический адрес. Формальности на задержание заняли более месяца, но не помешали взять хакера почти с поличным. Даже предупрежденный своим провайдером, хакер был уверен в своей неуязвимости. Но зашифрованные диски и профессиональные уловки не помогли избежать наказания. Экспертный центр, получивший разрешение на расшифровку закрытых данных с возможностью декомпиляции программного кода ПО сторонних фирм, предоставил Суду полную картину незаконных действий.

Кроме того, была изучена версия обвиняемого, что якобы этот компьютер использовался без его ведома транзитом другими хакерами. Экспертиза смогла точно установить, что командным центром являлся именно изъятый компьютер. По определению Суда Олег Черушенко получил три года условно по ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»).

Единственно, что можно пояснить сейчас, так это то, что на компьютере осталось много темных пятен – информации, которую не удалось расшифровать первоначально. Учитывая опыт работы Ивановского ЭЦС, истец выбрал именно этот экспертный центр, чтобы вскрыть самые засекреченные стороны международного преступления.