Создатель фишинга Kelihos не стал спорить с американской прокуратурой

Российский программист Петр Левашов признал себя виновным перед судьей Робертом Чатигни по обвинениям в мошенничестве, преступном сговоре, краже персональных данных с отягчающими обстоятельствами и нанесении ущерба защищенным персональным компьютерам. Об этом сообщил Минюст США.

Приговор Петру Левашову, который после экстрадиции из Испании находится под стражей в штате Коннектикут, вынесут в сентябре 2019 года в суде города Хартвуд. Мера пресечения ему не изменена.

«Более 20 лет Петр Левашов оперировал ботсетью, с помощью которой собирал личную информацию с зараженных компьютеров, распространял спам и вирусы для поддержки множества мошеннических схем, действовавших по всему миру»,— говорится в пресс-релизе Минюста США.


Петру Левашову инкриминируют создание глобальной сети зараженных компьютеров Kelihos и управление ею. В августе 2017 года программист был заочно арестован в России после взлома и блокировки доступа к информации на сайте медицинского учреждения в Санкт-Петербурге. Петербуржец Левашов, более известный интернет-сообществу как Peter Severa, был активным участником закрытых форумов, на которых продается украденная информация, утверждает прокуратура США.

Петр Левашов был задержан в Барселоне 7 апреля 2017 года. В феврале 2018 года его экстрадировали из Испании в США. Поначалу вину он не признавал.

Уже на следующий день после задержания Петра Левашова сотрудники ФБР начали блокировать домены, связанные с ботнетом Kelihos, чтобы прекратить распространение вредоносного ПО на пока не зараженные компьютеры. Временами число одновременно действующих зараженных компьютеров в этой сети превышало 100 тыс. С помощью этой армии компьютеров, говорится в обвинении против Петра Левашова, производилась рассылка сообщений с рекламой поддельных лекарств, схемами мошеннических действий с ценными бумагами (так называемые схемы pump-and-dump, когда цены на акции искусственно повышаются, вводя в заблуждение покупателей), мошеннической рекламой работы на дому и т. п. Кроме того, через Kelihos осуществлялся фишинг — сбор личных данных пользователей и внедрение вирусов, в том числе для вымогательства.

Петр Левашов, по данным ФБР, брал с заказчиков по $200 за распространение 1 млн сообщений с рекламой «товаров»: таблеток, ценных бумаг, фальсификата, товаров для взрослых и т. п.

Распространение спама с предложением работы оценивалось в $300 за 1 млн сообщений. Дороже всего стоили услуги по рассылке сообщений с вредоносным ПО, которое заражает компьютеры, кодируя хранящуюся на нем информацию, и требует выкуп за ее восстановление — $500 за 1 млн сообщений. По информации швейцарско-британской некоммерческой организации Spamhaus, Петр Левашов занимает седьмое место в рейтинге мировых спамеров, а некоторые эксперты по компьютерной безопасности называют его «королем спама».

Для проведения операции против Kelihos ФБР воспользовалось недавно принятыми нормами законодательства, согласно которым ведомству достаточно получить от суда только один ордер на обыск для дистанционного доступа к компьютерам (без возможности изучать содержимое жестких дисков), расположенным в любой юрисдикции. Это значительно облегчило борьбу с ботнетом, который пытались уничтожить уже не раз. Три предыдущие попытки справиться с Kelihos оказались безрезультатными, так как каждый раз появлялись ее улучшенные версии, а самая последняя позволяла отдельным зараженным компьютерам самим обновлять друг друга с помощью нового кода.

ФБР подключило к работе фирмы CrowdStrike и Shadowserver, специализирующиеся на обеспечении компьютерной безопасности, которым удалось найти слабое место в ботнете: они вышли на зараженные компьютеры, переключили их на сервер, контролируемый ФБР, и заблокировали попытки ботнета вернуть себе контроль над этими компьютерами.

В операции по ликвидации ботнета российского программиста принимали участие также специалисты Университета Алабамы и Кембриджского университета, специализированных компаний и организаций Cisco, ThreatStop, SpamHaus и Cloudmark, федеральные службы, региональные, местные и даже представители индейской резервации Коннектикута, сообщил Минюст США.