[ad_1]

Pavel Vroublevskile co-fondateur assiégé de ChronoPay – Le plus grand processeur de paiements en ligne de Russie – aurait fui le pays après l’arrestation d’un suspect qui a avoué avoir été engagé par Vrublevsky pour lancer une cyberattaque débilitante contre un des principaux concurrents de ChronoPay.

BreachTrace a présenté de nombreuses histoires sur le rôle de Vrublevsky en tant que co-fondateur de la tristement célèbre pharmacie en ligne voyous Rx-Promotion, et sur ses efforts pour faire de ChronoPay un processeur majeur pour les fournisseurs de « scareware », un logiciel qui utilise des alertes trompeuses d’infection par un virus informatique pour effrayer les utilisateurs afin qu’ils paient pour un logiciel de sécurité sans valeur. Mais ces activités ont été largement ignorées par les responsables de l’application des lois russes, peut-être parce que les conséquences n’ont pas eu d’impact sur les citoyens russes.

À l’été 2010, des rumeurs ont commencé à circuler dans le russe blogosphère que Vrublevsky avait engagé un hacker pour lancer un déni de service distribué (DDoS) attaque contre Aiderla société qui traitait les paiements pour Aéroflot, la plus grande compagnie aérienne russe. Aeroflot avait ouvert son contrat de traitement des paiements à un appel d’offres, et ChronoPay était en concurrence avec Assist et plusieurs autres processeurs. L’attaque contre Assist s’est produite quelques semaines seulement avant qu’Aeroflot ne décide quelle entreprise remporterait le contrat ; cela a tellement affecté les opérations d’Assist que l’entreprise n’a pas été en mesure de traiter les paiements pendant de longues périodes. Citant le temps d’arrêt dans le traitement comme facteur dans sa décisionAeroflot n’a finalement attribué le contrat ni à ChronoPay ni à Assist, mais au lieu de Alfa-Bankla plus grande banque privée de Russie.

Selon des documents divulgués sur plusieurs blogs de sécurité russes, des enquêteurs de la Russie Service fédéral de sécurité (FSB) a arrêté ce mois-ci un homme de Saint-Pétersbourg nommé Igor Artimovitch en lien avec les attentats. Les documents indiquent qu’Artimovich – connu dans les cercles de hackers sous le pseudo « Engel » – avoué d’avoir utilisé son botnet pour attaquer Assist après avoir reçu des instructions et un paiement de Vrublevsky. Les mêmes blogs disent que Vrublevsky a fui le pays. Des sources proches de l’enquête affirment qu’il se trouve actuellement aux Maldives. Vrublevsky n’a pas répondu aux multiples demandes de commentaires.

Interface de botnet « Topol Mailer » prétendument utilisée par Artimovich.

Les allégations contre Artimovich et Vrublevsky ont été étayées par des preuves recueillies par une société russe d’informatique judiciaire Groupe-IB, qui a déclaré avoir aidé le FSB dans l’enquête. Group-IB a présenté des informations détaillées sur le malware et des serveurs de contrôle utilisés pour contrôler plus de 10 000 PC infectés, et partagé avec les enquêteurs des captures d’écran du panneau de contrôle du botnet (photo de gauche) prétendument utilisé pour coordonner l’attaque DDoS contre Assist. Group-IB a déclaré que le botnet d’Artimovich était également utilisé pour attaquer plusieurs programmes de pharmacie voyous qui étaient en concurrence avec Rx-Promotion, notamment Glavmed et Spamit (ces attaques ont également été observées par la société de sécurité SecureWorks en février).

Cette saga DDoS est le dernier chapitre d’un drame fascinant qui se joue entre les deux plus grandes pharmacies Internet voyous : Rx-Promotion de Vrublevsky et Glavmed (alias « Spamit »), un énorme programme d’affiliation pharmaceutique géré par Igor Gusevl’homme qui a co-fondé ChronoPay avec Vrublevsky en 2003.

Gusev est en exil de son Moscou natal depuis l’automne dernier, lorsque les autorités russes l’ont nommé le plus grand spammeur du monde et ont déposé des accusations criminelles contre lui pour avoir exploité une entreprise illégale. Spamit a été contraint de fermer peu de temps après, et Gusev reproche à Vrublevsky d’avoir utilisé ses relations politiques pour saboter Spamit. À la fin de l’année dernière, Gusev a lancé redeye-blog.com, un blog consacré à la mise en évidence des actes répréhensibles présumés de Vrublevsky. Dans un poste, Gusev accusé qu’Artimovich a accepté DDoS Spamit.com parce qu’il pensait que les membres du forum fuyant le programme rejoindraient son propre forum de spammeurs en herbe : le programme toujours actif mais largement inactif Spamplanète.

ChronoPay et Glavmed/Spamit ont tous deux subi des attaques de piratage l’année dernière qui ont exposé des documents internes, des transactions financières et des e-mails organisationnels. Les données divulguées par Glavmed/Spamit comprennent une liste d’informations de contact, de revenus et de données de compte bancaire pour des centaines de spammeurs et de pirates qui ont été payés pour promouvoir les pharmacies en ligne du programme. Ces dossiers suggèrent que pendant la majeure partie de 2007, Artimovich gagnait des milliers de dollars par mois en envoyant du spam pour promouvoir les sites de pharmacie Spamit.

le document que le FSB avait l’habitude d’exposer en justice contre Artimovich, alias « Engel », déclare qu’il a été payé pour les services DDoS avec des fonds déposés sur un compte WebMoney « Z578908302415 ». Selon les enregistrements d’affiliation Spamit divulgués, ce même compte WebMoney appartenait à un affilié Spamit qui s’est inscrit au programme en utilisant l’adresse e-mail « [email protected] ». Les enregistrements d’enregistrement du site Web pour id-search.org montrent que le nom du titulaire est caché derrière des services payants de protection de la vie privée. Mais les enregistrements WHOIS historiques conservés par DomainTools.com révèlent que pendant une période de deux mois en 2008, ces dossiers d’enregistrement ont été exposés ; au cours de cette brève fenêtre, les enregistrements indiquaient que le titulaire était Igor Artimovich de Kingisepp, en Russie, une ville située à 110 km à l’ouest de Saint-Pétersbourg.

Les e-mails et documents divulgués à la suite de l’intrusion de piratage dans ChronoPay l’année dernière montrent qu’Artimovich et Vrublevsky ont échangé de nombreux e-mails concernant le paiement de services non spécifiés. Parmi eux se trouve un reçu par e-mail de WebMoney montrant un transfert de plus de 9 000 $ d’un compte contrôlé par Vrublevsky vers le porte-monnaie Z578908302415 d’Artimovich le 6 juillet 2010, quelques jours seulement avant le début des attaques DDoS. La notation indiquée à côté du reçu de paiement ? « Engel ».

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *