Главная » Статьи » ДЕЛА и ЛЮДИ |
Koobface совершает ошибку, а потом еще одну…, О машинах и котятах…Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg). 17 января 2012 года New York Times сообщила, что Facebook планирует назвать имена пятерых человек, имеющих отношение к группе Koobface. К сведению читателей: в этой статье опущены некоторые имена и другие подробности, это сделано для защиты частной жизни подозреваемых и их семей. Кроме того, некоторые URL в данном документе могут указывать на материалы сомнительного содержания или на вредоносный контент, небезопасный для просмотра. Важно помнить, что ни одному из лиц, упоминаемых здесь, не было предъявлено обвинение в каких-либо преступлениях, и они остаются невиновными то тех пор, пока Введение: нет идеальных (кибер)преступлений Ботнет Koobface - продукт группы, которая сама назвала себя «Ali Baba & 4», и известной также, как Исследование, описанное ниже, проведено независимым исследователем Яном Дрёмером (Jan Drömer) и Дерком Колбергом (Dirk Kollberg), сотрудником SophosLabs, и фокусируется оно на личностях подозреваемых, стоящих за этой, крупнейшей за последние годы кибер-угрозой, и на процессе идентификации этих личностей. Исследование, ставящее своей целью идентифицировать личности подозреваемых, проводилось, начиная с октября Как это всегда бывает в реальной жизни, идеальное киберпреступление - такой же миф, как и все идеальное. Простая правда в том, что современные киберпреступления ориентированы Именно эти несовершенства, вкупе с самоуверенностью преступников и свойствами такой неконтролируемой среды, как Интернет, и привели, в результате, к идентификации тех подозреваемых, что составляют «шайку Koobface». Koobface совершает ошибку, а потом еще одну... В каждой кибер-атаке неизбежно фигурирует большое количество технических деталей (таких, например, как IP-адреса, доменные имена и т.п.), которые невозможно спрятать и которые становятся отправным пунктом в расследовании. Расследование по Koobface не было исключением, и, в результате идентификации одного из командных серверов Koobface, предназначенных для управления атаками, была обнаружена первая Оказалось, что в web-сервере Apache на одном из действующих командных серверов ботнета (captchastop.com, 67.212.69.230) был включен модуль mod_status. Включение этого модуля на Хотя эта ошибка была замечена и исправлена в конце октября 2009 года, спустя лишь несколько дней шайка совершает еще одну ошибку - устанавливает утилиту статистики Webalizer с правами общего доступа, позволяя тем самым еще лучше рассмотреть внутренние структуры их командных серверов. Но главный прорыв в техническом расследовании произошел в начале декабря 2009 года, когда в данных утилиты статистики Webalizer промелькнул файл с именем «last.tar.bz2», который, при дальнейшем изучении, оказался ни чем иным, как полной резервной копией ПО командных серверов Koobface. В дальнейшем ходе расследования аналогичные резервные копии были получены из многих других командных сетей Koobface. Наряду с тем, что эти резервные копии Это привело исследователей к различным доменным именам и IP-адресам, среди которых одна система заняла особенное место. Эта «база» Koobface располагалась по IP-адресу 78.108.178.44, в сети провайдера «UPL Telecom» в Праге (Чешская республика) - она использовалась для сбора и хранения статистики, для слежения за командными серверами, а также для восстановления командных серверов в случаях, когда они становились недоступными. Два из найденных доменных имен (babkiup.com и service.incall.ru) также принадлежали серверу- «базе». Если incall.ru был похож на легальный голосовой сервис VoIP, то сайт babkiup.com приветствовал посетителей таким описанием своих услуг, которое точно совпадало с поведением ботнета Koobface, включая краткий раздел вопросов и ответов для заинтересованных клиентов и контактные номера ICQ, принадлежащие двум никам - «PoMuC» и «LeDed». Возвращаясь к тем резервным копиям - вероятно, самая интересная информация содержалась в PHP-скрипте, который использовался для отправки ежедневной статистики по доходам на пять мобильных телефонов через SMS-сообщения. Международный префикс +7 Обратите внимание - один номер закомментирован, - это означает одно из двух: или один из членов шайки Ник «LeDed», названный в качестве «Krotreal» - еще один ник, который встречается в скрипте с именем «gen_service.php». Обстоятельства позволяют предположить, что данный комментарий в тексте скрипта был сделан самим «Krotreal», из чего можно заключить, что он имел доступ к этим PHP-скриптам, обеспечивающим функционирование командно-контрольной системы Koobface. Кроме того, в резервной копии был найден файл изображения с именем «IMG_0121.JPG». Эта фотография не имеет никакого отношения к функционированию самого ботнета Koobface, но могла Метаданные Exif, содержащиеся в файле изображения, показывают, что снимок был сделан при помощи iPhone, 15 сентября 2009 года, в точке с северной широтой 59° 55.66' и восточной долготой 30° 22.11'. Эта точка находится в центре Санкт-Петербурга в России. Хотя эта информация, возможно, недостаточно точна для того, чтобы можно было идентифицировать точный адрес, она подтверждает прежние предположения, что члены шайки живут в России, и один или несколько из них находятся в районе Санкт-Петербурга. Тем не менее, важно уточнить, что все эти выводы могут быть ошибочными, поскольку фото может не иметь никакого отношения к членам Koobface. На следующей диаграмме схематически изображена вся информация, полученная из резервных копий серверов Koobface и его Web-сайтов. О машинах и котятах... Было очевидно, что для дальнейших поисков следует использовать телефонные номера, поскольку они, по всей Один номер был обнаружен в объявлении о продаже автомобиля на онлайновой торговой площадке, в 2008 году там продавался BMW 3 серии с номером «H <пропуск> 98». Тот же самый номер нашелся в объявлении на форуме, датированном сентябрем 2007 года, на этот раз продавались котята. И в этом объявлении, что еще более важно, приводился контактный адрес автора: «Krotreal@<пропуск>.com», и упоминалось его имя - Поскольку дальнейшие поиски по телефонному номеру завели в тупик, следующим вероятным источником информации должны были стать три ника («Krotreal», «LeDed» и «PoMuC»). «Krotreal», или что в нике тебе моем?Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg). Подобно тому, как имя и фамилия идентифицируют человека в реальной жизни, ники выполняют ту же функцию в онлайне. Обычно ники выбираются один раз, и на всю жизнь, и часто с определенными никами бывает связана определенная репутация. Это особенно верно в отношении подпольной экономики, где никто не использует в общении свое реальное имя, и где, тем не менее, необходимо отличать тех, кто предлагает надежный кибер-преступный сервис, от тех, кто просто обманывает клиентов. Хотя некоторые преступники используют несколько ников, реалии жизни вынуждают их придерживаться выбранных ников для того, чтобы оставаться узнаваемыми в кибер-преступной среде. Можно было бы подумать, что киберпреступник может просто «очистить» и сделать недоступными все свои профили в разных системах, но так случается нечасто. Сохранению следов способствует несколько факторов, и самый простой из них - забывчивость. Человек может просто забыть о заведенной где-то учетной записи или забыть пароль к ней. Кроме того, старый профиль может стать публично доступным просто в силу изменения «условий обслуживания» сайта. Поиск таких профилей на сайтах социальных сетей легко выполняется при помощи поисковиков или сервисов наподобие namechk.com или knowem.com. Хотя эти сайты и предназначены для того, чтобы помочь пользователям выбирать уникальные ники, не занятые другими пользователями, они также позволяют обнаружить все сетевые Это, как раз, мы и можем использовать для того чтобы найти профили интересующего нас ника в различных сервисах - а профили эти могут содержать какую-то дополнительную информацию. Конечно, тут требуется осторожность, поскольку найденные профили могут принадлежать разным людям, случайно использовавшим одинаковые ники, или, даже, фальшивые профили могут создаваться намеренно. В случае с профилями ника «Krotreal» он был идентифицирован на сайтах Flickr, Netlog и LiveJournal, а также, при дальнейшем изучении - на сайтах vkontakte.ru, YouTube, FourSquare, Twitter и др. Этим подтверждается важность длительных повторных поисков в течение нескольких недель. Все эти профили были изучены на предмет наличия информации, ведущей к раскрытию реальной личности «Krotreal». Во всех профилях снова и снова повторялось имя «Антон», различные адреса e-mail, список хобби, ссылки на Санкт-Петербург и один и тот же номер В некоторых профилях даже имелся портрет «Krotreal», что позволяет установить доказанную связь между двумя профилями, - сходную функцию может выполнять одинаковая картинка-аватар, использованная в разных профилях. Уровни доступа к конкретным профилям, в общем случае, могут меняться. Фото-альбомы на Flickr, например, не были публично доступны в данном случае. Тем не менее, всегда полезно провести поиск по профилю с использованием нескольких разных поисковиков, поскольку может найтись информация, сохраненная в кеше поисковика или В изображениях, самих по себе, может содержаться важная информация - например, в этом случае на ободке номерной пластины можно разглядеть название и номер телефона автомобильного дилера в Германии, что позволяет проследить цепочку владельцев машины от дилера и до нынешнего владельца. На другом фото из его профиля на Flickr изображен он сам с котом породы «канадский сфинкс» на руках, а это, с учетом объявления о продаже котят, становится дополнительным указанием на личность «Krotreal». Хотя во всех профилях содержится примерно одинаковая информация, в одном из них нашлась интересная дополнительная деталь - в качестве сайта, принадлежащего «Krotreal», был указан сайт «www.<пропуск>.ru». Ссылка привела на сайт «для взрослых». Как ни удивительно, регистрационная информация Whois на доменное имя этого сайта не была скрыта, и в ней владельцем домена записан Антон К., и для связи с ним указан петербургский городской номер. Впрочем, на точность информации Whois полностью полагаться нельзя. Запрос данных Whois по домену verybest.org, который используется в качестве сервера имен для Примечание: в процессе расследования хостинг сайта www.<пропуск>.ru переместился на IP-адрес «базы» Koobface - 78.108.178.44. Особый интерес представляют сайты социальных сетей, таких, как Facebook или vkontakte.ru, поскольку на них могут иметься сведения о родственниках или друзьях, если профиль находится в публичном доступе. Доступ к профилю «Krotreal» был первоначально ограничен только «друзьями». Но через время ситуация изменилась и это напоминает исследователям, что подобные профили надо, время от времени, перепроверять. Хотя первоначально профиль не был доступен публично, «Krotreal» разместил ссылки на фотографии на своей странице в Twitter, сделав тем самым эти фотографии доступными для всех. Фотографии, конечно, интересны и сами по себе - учитывая, что по ним видна география поездок и т.п., но более интересны комментарии, сделанные к фотографиям другими пользователями vkontakte.ru. Учитывая тот факт, что профиль, сам по себе, ограничен в доступе только «друзьями», эти комментарии особенно К сожалению, не удалось найти никаких подобных связей, однако один комментарий, сделанный Олесей Л. (Olesya L.), представил некоторый интерес благодаря тому факту, что профиль Olesya L. на сайте vkontakte.ru был в более свободном доступе и там можно было просмотреть несколько фотоальбомов. При просмотре альбомов обнаружились снимки Олеси Л. и Антона К. в таких обстоятельствах, которые наводили на мысль о существовании между ними связи. Хоть и оказалось возможным подробно исследовать социальные связи «Krotreal», не удалось найти никаких дополнительных свидетельств, подтверждающих предположение о его личности - предположение, что «Krotreal» является Антоном К., все же нуждается в дополнительных подтверждениях. Получение доказательств, подтверждающих идентификацию личности - трудное дело, потому что данные Whois, профили и т. п. можно подделать. К счастью, один из обнаруженных адресов e-mail показывал, что Антон К. имеет отношение к компании с названием MobSoft - был или остается сотрудником, фрилансером или даже владельцем этой компании. Внутри фирмы KoobfaceРасследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg). Компании - интересный объект для изучения во время проведения подобных расследований, поскольку обычно они должны регистрироваться в государственных и налоговых органах, по закону они обязаны представлять отчетность и т. д. Более того, компании обычно содержат В случаях, когда подозреваемый является владельцем или совладельцем компании, весьма вероятно, что о нем удастся получить достоверную информацию, поскольку его документы обязательно регистрируются при регистрации самой компании. Но пусть даже некоторые сотрудники или владельцы компании, возможно, вовлечены в противозаконную деятельность, их этого автоматически не вытекает, что вовлечена компания в целом. Впрочем, исследование MobSoft быстро завершилось, поскольку домен mobsoft.com не приводил на корпоративный сайт этой компании. Запросы к поисковикам не дали никаких уверенных Тем не менее, один след нашелся - в строке копирайта на сайте incall.ru утверждалось, что это совместная «UPL Telecom s.r.o» - это чешская компания, которая напрямую или опосредованно предоставляет хостинг «базовому» серверу ботнета Koobface. На страницах сайта www.mobsoft.eu компания MobSoft Ltd. описывает себя, как фирму, специализирующуюся на разработке и распространении ПО для мобильных устройств и сервисов. Если верить сайту, компания располагает двумя офисами: один находится в Чешской республике, второй - в Санкт-Петербурге, Россия. Хотя сайт mobsoft.eu расположен на том Дополнительные исследования, однако, позволили получить кэшированные файлы, относящиеся к неработающему сайту mobsoft.com, в том числе логотип компании и описание продукта компании, названного «Mobile Casino Management System» (Система управления казино для мобильных устройств), что позволяло предположить, что оба сайта Адрес в Санкт-Петербурге, упомянутый на сайте MobSoft, не дал никаких дополнительных результатов, в отличие от чешского адреса, по которому сервис Google Streetview показывает место в жилом районе Праги, и поиск по которому дает массу компаний, зарегистрированных на этот адрес, в том числе три компании, имеющих отношение к Mobsoft. Чешское правительство содержит портал, при помощи которого можно легко найти данные о любой компании, такие, как вид деятельности, зарегистрированные адреса и подробности относительно владельцев и совладельцев. Для зарегистрированных физических лиц приводятся даты рождения и номера паспортов. Просматривая сведения о компаниях, мы обнаружили Антона К. в качестве владельца одной из них, что доказывало, что «Krotreal» - это действительно Антон К. из Санкт-Петербурга, Россия. Аналогичные поиски были предприняты в Трудности транслитерации — МобСофт Расследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg). Дело Koobface явно имеет сильные связи с Россией или Восточной Европой, а это значит, что важным фактором в расследовании становится язык. Простой поиск строки «MobSoft» на То же самое относится и к поисковым системам, таким, как Google или Yandex, или к поиску в социальных сетях. Важно понимать при этом, что автоматическая транслитерация имен подозреваемых или даже транслитерации, выбранные ими самими, могут дать при поиске неверный результат или не дать результата вообще. Поиски с использованием строки «МобСофт» Это имя уже известно нам в связи с чешской регистрацией Mobsoft. Дальнейшие исследования привели нас также к различным резюме на сайтах поиска работы, где компания MobSoft указывалась в качестве прежнего места работы - например, резюме графического дизайнера. Хотя это лицо не имеет отношения к Koobface, на сайте имеются образы его творений, например, корпоративный дизайн MobSoft. Чрезвычайно интересным оказалось объявление о приеме на работу, размещенное неким Александром К. Подробной информации об Александре К. немного. Точно так же, как и в случае с «Krotreal», доступ к его профилю на сайте vkontakte.ru, оказался ограниченным. Тем не менее, там доступно фото В нескольких его профилях он пользуется другими никами - «floppy», «megafloppy» и «darkfloppy». Профили с такими никами можно найти в различных социальных сетях, например, в LiveJournal. Если учесть фотографию в этом профиле, дату рождения, ссылку на Санкт-Петербург и предпочитаемые языки программирования, он вполне может иметь отношение к программистской Тут, впрочем, важно заметить, что номер его мобильного телефона был закомментирован в скрипте, отсылающем статистику через SMS. Как и «PoMuC», он является акционером «Paytelecom При дальнейших поисках обнаружилось еще одно предложение работы, размещенное Александром К., но на этот раз он Номер этот в точности совпадает с номером мобильного телефона с той лишь разницей, что вместо кода Следуя далее такой же логике, оказалось возможным найти след и другого номера, упоминающегося в том статистическом скрипте Koobface - речь идет о номере Романа К. (Roman K.), а номер фигурирует также в записи Whois для домена highspeed.ru, domain: HIGHSPEED.RU Аналогичным образом был произведен поиск в сети vkontakte.ru по строке «МобСофт», что позволило дентифицировать Друзья и семья — слабый след к KoobfaceРасследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg). Если Один их них - «PoMuC», его номер ICQ приведен на странице контактов сайта babkiup.com. Его профиль ICQ сам по себе уже дает некоторую информацию. Мы начнем с имени «Роман» и связи с MobSoft, сочетая это с датой рождения и связью с Санкт-Петербургом. Имя и дата рождения совпадают с данными Романа К., указанными в чешском реестре. Нашлось лишь несколько профилей, имеющих отношение к нику «PoMuC», а те, что были найдены, оказались скудными на подробности. Кроме нескольких адресов e-mail, обнаружилась связь с компанией под названием «Elitum Ltd.», которая занималась разработкой приложений для мобильных телефонов (азартные игры и т.п.), и которая была очень похожа на MobSoft. Некоторые из продуктов Elitum, например, ElitePassword, можно и сейчас еще найти в Internet. Сама же компания, по всей видимости, растворилась в воздухе, а сайт ее уже давно не работает. Тем не менее, несколько адресов e-mail все еще можно найти, такие, как {andrew|psviat|akolt|support|4spam}@elitum.com. Среди них виден ник «psviat», который, Другой профиль, принадлежащий, как При наличии столь немногих деталей, был проведен поиск в сети vkontakte.ru по имени Роман К., а результаты поиска - найденные профили - были изучены. К сожалению, ни один из этих профилей не походил или был просто недоступен. Могло показаться, что поиски зашли в тупик, однако не следует недооценивать такие следы, как друзья и семья. Из чешского реестра известно, что совладельцем одного из предприятий MobSoft является некто Мария К. (Maria K.). Поиск имени Мария К. в сети vkontakte.ru привел лишь к одному совпадению. К счастью, ее профиль допускал максимально широкий публичный доступ, включая фотоальбомы, списки друзей и т. д. Здесь, в списке «друзей» и на нескольких фото, мы нашли не только Романа К., но также и Антона К. Из изучения этого профиля становится ясным, что Мария и Роман женаты, и у них есть Теперь, когда лицо Романа К. нам знакомо, становится возможным связать двух «последователей» учетной записи «Krotreal» на Twitter (это spb_roman и ru_roman) с Романом К, - на аватарах обеих этих учетных записей изображен он. Это дает нам также два дополнительных ника, которые использует Роман К. и это можно в дальнейшем использовать тоже. При изучении фотографий, выложенных на свою страницу Марией К., обнаружилось, что их семья проводит выходные совместно с Антоном К., что подразумевает близкие отношения между ними. Факторы семьи и друзей в социальных сетях также сыграли свою роль при расследовании в отношении Святослава П., ник «psviat». Хотя его профиль на сайте vkontakte.ru доступен Таковы внутренние свойства социальных сетей, в которых трудно ограничивать информацию о себе, поскольку , если ты не разместишь свои фото сам, это могу сделать за тебя семья и «друзья». Анализ фотографий показывает, что не очень давно он женился на Светлане Д., которая, в свою очередь, оказалась знакомой Марии К. Его список «друзей» показывает, что он знаком, как с ранее обсуждавшимися Марией и Романом К., так и с Антоном К. Связывание ников «psviat» и «PsycoMan» с личностью Святослава П. стало возможным в результате исследования различных профилей. Хотя его связь с делом Koobface не вполне еще ясна, обстоятельства наводят на мысль, что он мог участвовать в работах над программным обеспечением. Также может быть установлена его связь с адресом e-mail «ha-xep@.ru», который фигурировал в различных темных историях, таких, например, как дело по домену setup.bestmanage.org, который некогда размещался потому же IP-адресу, что и сайт mobsoft.com в пределах сети UPL Telecom. Без секса не обойтисьРасследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg). Благодаря фотографиям Святослава П. и его жены из фотоальбомов на сайте vkontakte.ru стало возможным идентифицировать их на фото участников конференции AWM (Adult Web-Master, Вебмастера сайтов «для взрослых»), проходившей в 2009 году на Кипре. На сайте «FUBAR Webmaster» имеются архивные фотографии, отражающие различные события в жизни порно-индустрии, и среди них нашлись фото этой пары. Порно-индустрия (особенно, это относится к России), очень часто появляется на сцене при расследовании киберпреступлений, поскольку подозреваемые очень часто имеют отношение к бизнесу «взрослых развлечений». Тому есть несколько причин, и это никоим образом не означает, что сообщество вебмастеров сайтов «для взрослых» в целом имеет отношение к вредоносной деятельности. Поскольку крайне маловероятно, чтобы киберпреступники начинали свои карьеры с пустого места, очень часто оказывается, что вначале они бывают заняты в порно-индустрии, осваивают модели «партнерок», привыкают к торговле трафиком и т. д. Но нестабильность этой сферы и желание будущего преступника зарабатывать денег больше и быстрее толкают его по направлению к красной черте, и он, в конце концов, переходит к более вредоносным видам деятельности. Не следует забывать кроме того, что доверие к партнерам на подпольном рынке - вещь, не менее важная, чем на рынке легальном. А ряд ежегодных событий в жизни сообщества порно-индустрии предоставляет прекрасную возможность установить личные отношения с потенциальными партнерами, и в этом может крыться еще одна причина того, что порно-индустрия постоянно встречается на пути расследований по киберпреступлениям. Вебмастеры сайтов «для взрослых» в Санкт-ПетербургеРасследование, проведенное независимым исследователем Яном Дрёмером (Jan Drömer) и сотрудником SophosLabs, Дерком Колбергом (Dirk Kollberg). Родившийся в 1962 году Станислав А. (известный под никами «LeDeD», «DeD», «Ded Mazai» и «zoro_ru»), лет на 20 старше остальных участников банды Koobface, и он оказывается последним и наиболее интересным подозреваемым в этом расследовании. Хотя и удалось найти несколько его профилей на разных сомнительных форумах наподобие crutop.nu, master-x и umax, в этих профилях содержится мало информации, кроме номера ICQ и заявления, что он «в деле с 1999 года». В одном из постов на форуме Проход по этой ссылке приводит посетителя к древней истории петербургских вебмастеров «для взрослых», а именно на главную страницу сайта «Объединенный клуб "взрослых” вебмастеров Санкт-Петербурга», датированную 2000 годом. На этом сайте есть фотографии с самых Можно предположить, что термин «Mazai Team» обозначает некую группу «взрослых» вебмастеров в Санкт-Петербурге. Также на сайте нашлась ссылка на форумную дискуссию, связанную с использованием печально известного шпионского ПО CoolWebSearch (CWS). Дальнейший анализ форумных постов дал определенную информацию об использовании CWS в прошлом, а также об отношении, которое имеют к нему российские вебмастера «для взрослых» - то есть, опять обнаружилась взаимосвязь, обсуждавшаяся выше. Потому неудивительно было обнаружить, что Станислав А. связан, как с использованием шпионского ПО CWS, так и с Исследование архивных профилей и регистрационных записей Whois позволило, в конце концов, раскрыть его имя: вот, например, архивная регистрационная запись whois для домена dnserror.org, который часто упоминался в различных дискуссиях по поводу вредоносных сайтов. В одной из таких дискуссий был приведен архивный текст уже не существующей записи, который приписывает Станиславу А. регистрацию в Праге: Registrant Name:Stanislav A. Имя Станислава А. также промелькнуло в расследовании по Роману К. и Александру К., поскольку все трое являются совладельцами «Paytelecom s.a.», еще одной чешской компании. Запрос к чешскому реестру компаний по строке имени «Stanislav A.», раскрывает еще одну компанию, владельцами которой являются Станислав А., его жена и дочери. Вас может удивить, зачем было регистрировать свою семью в качестве совладельцев компании, но в Чешской республике владение компанией значительно упрощает оформление карт Visa и другие вещи, а также, по прошествии определенного времени, дает право на постоянное жительство - видимо, это и было причиной в данном случае. Используя всю эту информацию, можно теперь установить связь между ником «Ded Mazai» и Станиславом А. Профиль «Ded Mazai» на сайте vkontakte.ru содержит в списке «друзей» его жену и дочь, а также Антона К. и Романа К. Станислав А. выложил даже несколько фото. На одном из них он изображен на конференции AWM Open в 2005 году. Также, на Google Picasa, у Станислава А. в публичном доступе имеется фотоальбом с сотнями фотографий. Один из этих фотоальбомов оказался особенно интересным, поскольку на его фотографиях изображены все подозреваемые, упомянутые выше, вместе с женами и подружками, собравшиеся на рыбалке. Фотографии всех подозреваемых членов Koobface, собравшихся вместе - и даже со своими семьями - сюжет, который повторяется в многих их альбомах, находящихся в открытом доступе. Одно из таких документированных коллективных путешествий начинается в Египте, продолжается в Испании, Ницце, Монте-Карло, и завершается в казино в Баден-Бадене в Германии - игра, по всей вероятности, ведется на деньги, украденные у их жертв. Роман К., Святослав П., Александр К., Антон К. и Святослав А. Ведут жизнь богатых и знаменитых людей… Важно, конечно, подчеркнуть, что все упомянутые выше лица не были официально обвинены в принадлежности к банде Koobface, и не были признаны виновными в каких-либо преступлениях. Все имеющиеся улики переданы в руки правоохранительных органов, и нам остается только ждать - будут ли предприняты какие-либо действия в отношении банды Koobface? Благодарности:
http://www.rusecurity.com | |
Просмотров: 3323 | Комментарии: 3 | |