Facebook атаковали питерские черви

«Червя» для Facebook запустили из Санкт-Петербурга

Анастасия Матвеева 17.01.2012, 20:23
«Червя» для Facebook запустили из Санкт-Петербурга Thinkstock/Fotobank.ru
«Червя» для Facebook запустили из Санкт-Петербурга

Создатели самого опасного «червя» в Facebook нашлись в России, доложила служба безопасности социальной сети. Банда Koobface живет в Санкт-Петербурге, отдыхает на Бали и не скрывается. Доходы организаторов одной из крупнейших зомби-сетей за год составляли около $2 млн.

Создатели компьютерного «червя» Koobface, атакующего социальную сеть Facebook, живут в Санкт-Петербурге, не отказывают себе в расходах на курортах и регулярно отмечаются на геолокационном сервисе Foursquare, рассказали The New York Times в службе безопасности Facebook и нескольких независимых исследовательских фирмах, специализирующихся на аудите интернет-угроз.

По данным аналитиков социальной сети, «червя» запустили программисты Антон Коротченко, использующий псевдоним KrotReal, Станислав Авдейко, известный в сети как leDed, Святослав Полищук — PsViat и PsycoMan, Роман Котурбач с псевдонимом PoMuc и Александр Колтышев с ником Floppy.

Они проживают в Санкт-Петербурге, пишет NYT, отпуск проводят в Монте-Карло, Турции или на Бали.

Один из членов группы, известной как Koobface gang, регулярно отмечает свое местоположение через приложение Foursquare и размещает сообщения в Twitter. На фотографиях на Foursquare также запечатлены и другие подозреваемые. Они работают на компьютерах Macintosh в комнате, которая напоминает стандартный офис стартапа.

«Люди, которые занимаются подобной деятельностью, должны понимать, что в конце концов их имена и личности будут установлены, — цитирует NYT главу по безопасности Facebook Джо Салливана. — В итоге они станут мишенью и будут арестованы».

Twitter и страничка Антона Коротченко в «ВКонтакте» сейчас удалены, в Facebook существует пять страниц по именем Антон Коротченко: две из них закрыты для публичного просмотра, пользователей третьей учится в РГУ нефти и газа имени И. М. Губкина, четвертый живет и работает в Донецке, в «Инкоме», пятый учился в Новороссийском колледже строительства и экономики и играет в группе Autodoom.

По запросу Авдейко поисковик не дает никакой информации, а Facebook выдает закрытую страницу без фотографии. Страниц в FB по запросу Колтышев три, но информации по персонам практически нет: на одной из них лишь указано, что «Александру нравятся Facebook Россия и Путеводитель по Fаcebook», пользователь другой работал в МЧС России и закончил Ярославский химико-механический техникум (ЯХМТ) в 1985 году. По Полищуку в FB можно найти две страницы, на одной из них пользователь указал игру Diablo в интересах. По Котурбачу информацию не выдает даже Facebook.

Koobface gang была основана в 2008 году. Группа рассылала пользователям Facebook предложения посмотреть забавные ролики или же видео сексуального характера. Те, кто нажимал ссылку, получали сообщение с информацией об обновлении программного обеспечения Adobe Flash.

На самом деле в компьютер загружалось вредоносное ПО от Koobface.

Сетевых «червей» в соцсетях MySpace и Facebook обнаружили эксперты Лаборатории Касперского в 2008 году. По их информации, «черви» Net-Worm.Win32.Koobface.a и Net-Worm.Win32.Koobface.b заражали компьютеры для создания так называемых ботнетов, с которых в дальнейшем происходила рассылка спама.

Распространение червей в социальных сетях происходило через добавление различных комментариев к профилям друзей пользователя в MySpace и через рассылку спамовых сообщений в Facebook.com., содержащих следующие тексты: «Examiners Caught Downloading Grades From The Internet» («Экзаменаторы поймали выпускников на скачивании из интернета»), «Hello; You must see it!!! LOL. My friend catched you on hidden cam» («Здорово! Ты должен это увидеть. Мой друг снял тебя на скрытую камеру»), «Is it really celebrity? Funny Moments and many others» («Это и правда знаменитость? Забавные моменты и многое другое»).

По данным Лаборатории Касперского, сеть Koobface насчитывала в 2010 году от 400 до 800 тысяч зараженных компьютеров по всему миру, а пользователи часто не подозревали, что их компьютеры являлись разносчиками вредоносного ПО.

В 2010 году технический аналитик канадской исследовательской компании Information Warfare Monitor Нарт Вильнев представил исследование, в котором раскрыл структуру бизнеса ботнетов.

По данным компании, организаторам Koobface удалось заработать в период с июня 2009 года по июнь 2010 года более $2 млн. Исследователям удалось найти файл с ежедневными отчетами о доходах хакеров. Дневные доходы за семь лет отсылались на четыре российских номера мобильных телефонов. Средний дневной доход составляет $5857. Самая большая дневная сумма — $19 928 — была получена 23 марта 2010 года.

После обнародования информации о членах Koobface gang компания по IT-безопасности Sophos опубликовала собственное независимое расследование, которое она проводила в отношении группы. Результаты относятся к периоду с октября 2009 года по февраль 2010 года.

«Это невероятная детективная история безостановочного расследования, в ходе которого очищался интернет, проводились поиски документации и использовались ошибки, которые были сделаны хакерами, их семьями и друзьями в социальных сетях. Мы знаем имена членов банды, их телефонные номера, местонахождение их офиса, их лица, марки их авто и номера мобильных телефонов, — цитирует The next web ведущего технического консультанта Sophos Грэма Клули. — Теперь остается ждать, какие меры предпримут правоохранительные органы в отношении Koobface gang».

По одному из телефонов, которые приводит Sophos, ответили, что это квартира и проживающие в ней люди никак не связаны с Koobface, а телефон у них такой около года.

В посольстве России в Вашингтоне сообщили, что не имеют информации относительно Koobface и что американские правоохранительные органы никогда не связывались с посольством по данному вопросу.

Во вторник Facebook должна объявить о начале публикации информации о Koobface и методах борьбы с ней. Социальная сеть надеется, что обнародование имен усложнит распространение вирусов и затруднит обмен информацией между хакерскими группами.