Оператор одного из крупнейших ботнетов Andromeda Сергей Ярец, известный под ником Ar3s, освобожден судом Белоруссии, ему был присуждён небольшой штраф, который даже не пришлось выплачивать.
Эксперты по кибербезопасности за пределами Белоруссии встретили эту новость без энтузиазма. Что и не удивительно: уничтожение ботнета потребовало огромных совместных усилий со стороны множества государственных и частных организаций. А в итоге его оператор фактически вышел сухим из воды.
Andromeda/Gamarue - название популярной вредоносной программы, с помощью которой уже неоднократно создавались крупные ботнеты. Вредоносное семейство Andromeda известно с начала 2010-х годов. Его представители часто используются для установки на уже заражённые компьютеры других вредоносных программ, то есть Andromeda образовывала канал распространения для других троянцев и шпионских программ, таких как ZeuS, Rovnix, Dridex, Chthonic, Proteus и GamaPoS.
В конце 2017 г. эксперты Microsoft утверждали, что с Andromeda ассоциированы не менее 80 вредоносных семейств, и что за вторую половину 2017 г. этот вредонос ежемесячно обнаруживался на 1 млн машин.
В конце 2017 г. ФБР, Европейский центр по борьбе с киберпреступностью (EC3), Евроюст, европейская Объединенная группа противодействия киберпреступлениям (J-CAT), правоохранительные органы Германии, ICANN и другие некоммерческие организации, а также представители Microsoft, ESET, фонда Shadowserver Foundation и ICANN, провели совместную глобальную операцию, в результате которой ботнет был разгромлен, а его оператор - Сергей Ярец, попытавшийся продать исходный код Andromeda сотруднику ФБР под прикрытием, - арестован белорусскими властями.
Он же Ar3S
Ещё в декабре 2017 г. эксперты компании Recorded Future, занимающейся разведкой киберугроз, заявили, что речь идёт скорее всего, именно о Сергее Яреце. На тот момент власти ещё не объявили имя подозреваемого, но обозначили его возраст и место проживания.
Эксперты Recorded Future назвали Яреца (он же Ar3S) «одним из самых уважаемых и старейших членов хакерского сообщества», отметив, что он ведёт активную деятельность в русскоязычном киберандерграунде «как минимум с 2004 года» и является администратором хакерского форума Damagelab.
В публикации Recorded Future, Ярец назван непосредственным разработчиком Andromeda/Gamarue, а также ряда хакерских инструментов (в том числе, Windows SMTP Bruter и Swf-Inj Service). Сам Ярец это отрицает.
Видео с задержания Сергея Яреца
После освобождения Яреца эксперты Recorded Future заявили, что такой исход дела - «пример избирательного подхода к наказанию киберпреступников в постсоветских государствах», который «снижает значимость и эффективность международного сотрудничества в этой области».
- Среди хакеров на территории стран бывшего СССР существует негласное правило «работать» только на «заграницу», то есть не атаковать организации, ведущие деятельность в русскоязычном сегменте Сети, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – Естественно, не все это правило соблюдают. Но, как показывает практика, власти стран СНГ действительно довольно вяло реагируют на запросы международных правоохранительных структур относительно киберпреступников, которые избегают причинять ущерб «у себя дома». Это нередко становится поводом для обвинений чуть ли ни в укрывательстве. Факт, однако, что борьба с киберпреступностью будет эффективна лишь настолько, насколько эффективно международное сотрудничество как таковое.
Не виноватый
После своего ареста Сергей Ярец принялся активно сотрудничать со следствием: частично признав вину, он вернул в казну 11 тысяч белорусских рублей (около $5400), заработанных на сдаче ботнета в аренду. Подозрения в причастности к разработке вредоносных программ Andromeda/Gamarue он отверг категорически: по его утверждению, их автором является некий гражданин России, известный под ником Waahoo. Ar3S же якобы только продавал программу другим – с ведома и согласия Waahoo, - но никогда не применял её сам.
Суд в это поверил. Более того, когда выяснилось, что среди пострадавших от ботнета нет граждан Белоруссии, Ярец получил предельно мягкое наказание: штраф в размере 2940 белорусских рублей (менее $1500), от выплаты которого его освободили в связи с пребыванием в следственном изоляторе в течение нескольких месяцев.
Первоначально Сергею Ярецу инкриминировалась часть 2 статьи 354 Уголовного кодекса РБ - разработка компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения, блокирования, модификации информации с тяжелыми последствиями. Ему грозило до 10 лет лишения свободы. Однако на следствии дело было переквалифицировано на куда менее тяжкую часть первую той же статьи. Максимальный срок по ней - два года лишения свободы.
Надуманный ущерб?
Microsoft и ФБР оценили ущерб, нанесённый ботнетом Andromeda, в $10 млн. Сам Ярец в комментариях под статьёй, опубликованной белорусской редакцией «Радио Свобода», написал, что речь шла о «моральном ущербе», который никем и ничем не подтверждался. Он также добавил «это Америкос сделал кряк (билдер) на андромеду и выложил в свободный доступ», в результате чего и началась «эпидемия». Под «америкосом», вероятно, подразумевается агент ФБР, производивший контрольную закупку. Никнейм агента ФБР был Dzhigurda.
Сейчас Ярец собирается возвращаться на прежнее официальное место работы – в местную телекомпанию «Телевид», где до 2017 г. работал техническим директором.
Источник: CNEWS