„Sunteți gangsteri? Nu, suntem ruși” | Cazul Methbot: când spionajul se confundă cu frauda cibernetică

Hackerii au folosit servere din întreaga lume pentru a crește în mod artificial traficul de pe pagini de internet și a frauda firmele furnizoare de reclame. O infracțiune asociată Methbot, denumită „3ev”, a folosit computere infectate ale unor utilizatori reali.

Săptămâna aceasta, într-un tribunal federal din New York a început procesul celui considerat de anchetatorii americani drept liderul grupului – cetățeanul rus Aleksandr Zhukov, acuzat, printre altele, de fraudă bancară și spălare de bani. Extrădat în Statele Unite după ce a fost arestat în Bulgaria, în 2018, Zhukov își susține nevinovăția. În același dosar au mai fost puse sub acuzare alte șapte persoane, majoritatea ruși.

„Infracțiunile cibernetice de care sunt acuzat există doar în imaginația celor de la FBI. Doresc să ajung în fața juraților”, spunea Aleksandr Zhukov în aprilie 2019, în fața unui tribunal american.

Cazul este cel mai recent exemplu în care autoritățile din SUA vizează presupuși infractori cibernetici ruși din întreaga lume, spre revolta Kremlinului, care a acuzat Statele Unite că vânează cetățenii ruși.

Rețeaua serverelor folosite în cazul Methbot a fost analizată și din punct de vedere al originii calculatoarelor, mai exact, investigatorii au analizat dacă acestea au fost sau nu folosite de hackeri sprijiniți direct de Kremlin sau de agenții de securitate din Rusia pentru a accesa rețelele partidelor politice din Statele Unite.

„A face diferența dintre infracțiunile cibernetice individuale și activități precum spionajul, puse la cale de un stat, devine tot mai dificil, mai ales în privința Rusiei. Aceasta pentru că hackeri care lucrează pentru guvern sau pentru diverse companii, par să atace rețele din Occident ca distracție, din patriotism sau pentru profit personal”, a spus pentru Europa Liberă Mathew Schwartz, director al publicației de specialitate „DataBreachToday”.

„Sunteți gangsteri? Nu, suntem ruși”

Potrivit documentelor din instanță, frauda cibernetică „Methbot” a început în septembrie 2014, când Zhukov și alte cinci persoane din Rusia și Kazakhstan ar fi închiriat peste 1.900 de servere în centre de date comerciale din Statele Unite, pe care le-au folosit pentru a simula situații în care persoane reale vizionează reclame online sau urmăresc anumite pagini de internet, care erau însă false.

În timp, operațiunea a ajuns să folosească peste 850.000 de adrese de internet, pe servere din SUA, dar și din Europa, în special din Olanda.

Într-un mesaj sms din septembrie 2014, obținut de anchetatorii americani și publicat de procurori, Zhukov, care trăia în Bulgaria din 2010, s-ar fi lăudat în legătură cu scopul operațiunii. El i-ar fi scris unui alt membru al acesteia: „Evident! Rege al fraudei!”. Acesta ar fi răspuns, potrivit unei transcrieri din acest dosar: „Sunteți gangsteri? Nu, suntem ruși”.

În decembrie 2016, White Ops, o companie americană de securitate cibernetică, specializată în fraudă publicitară digitală și în rețele de boți (programe/roboți care desfășoară anumite operațiuni), a publicat un raport care identifica o mare parte din informațiile tehnice și pagubele produse de Methbot. Aceste descoperiri au fost confirmate ulterior de cercetătorii de la Google.

White Ops concide: „Methbot a fost cea mai mare și mai profitabilă operațiune de fraudă care a vizat publicitatea digitală până în prezent”.

Film polițist cu hackeri ruși

În noiembrie 2018, poliția din Bulgaria, în prezența reprezentanților SUA, l-a interogat și arestat pe Zhukov și i-a confiscat calculatoarele și telefoanele mobile găsite în apartamentul acestuia din orașul-port Varna. Ulterior, autoritățile americane au prezentat un rechizitoriu cu 13 capete de acuzare împotriva lui și a altor șapte cetățeni ruși și kazahi. Două luni mai târziu, în ianuarie 2019, Zhukov era extrădat în SUA.

Un alt personaj important al operațiunii a fost cetățeanul kazah Sergei Ovysannikov, care ar fi fost implicat în acțiunile adiacente Methbot, cele numite 3ve și care vizau utilizarea boților. 3ve e asociată unor pagube estimate la cel puțin 29 de milioane de dolari și ar fi vizat 1,7 milioane de calculatoare infectate. Deoarece computerele infectate se aflau în locuințe și erau utilizate de persoane reale, au fost mai dificil de detectat.

Ovysannikov a fost arestat în 2018, în Malaezia, în baza unui mandat emis de Statele Unite. El a pledat vinovat în fața unei tribunal din SUA.

Tehnologiile și infrastructura Methbot și 3ve sunt relevante pentru cei care investighează spionajului cibernetic pus la cale de state.

Evgheni Timchenko, alt cetățean kazah acuzat de implicare în 3ve a fost arestat în Estonia în noiembrie 2018 și extrădat ulterior în SUA. Celelalte persoane acuzate în acest caz nu au fost încă găsite.

Dosarul Steele

Christopher Steele este fostul spion britanic aflat la originea raportului care menționează contacte repetate între echipa de campanie a lui Donald Trump şi Rusia.

Deși frauda comisă prin operațiunile Methbot și 3ve a fost una care a vizat obținerea de profit, tehnologiile și infrastructura utilizate au fost de maxim interes pentru cercetătorii și experții în securitate care urmăreau acțiunile de hacking sprijinite de state, în special de Rusia, Iran, Coreea de Nord, China, dar și și alte țări cu potențial de utilizarea a unor astfel de strategii.

Rețeaua pusă la cale de Methbot era una complexă și costisitoare, potrivit unui cercetător din domeniul cibernetic, care a descris-o drept „cea mai costisitoare fraudă cu rețele de boți din istorie”.

Un număr semnificativ din serverele închiriate în cadrul Methbot erau deținute și utilizate de firme care aveau legătură cu XBT Holding S.A., o companie deținută de investitorul rus Aleksei Gubarev.

Omul de afaceri Aleksei Gubarev părăsește Înalta Curte de la Londra, în 20 iulie 2020, după audieri în procesul în care îl acuză pe Christopher Steele de defăimare.

Societatea include un grup de companii de găzduire web cunoscute și sub numele de Webzilla, care operează în Dallas/Texas, precum și în Rusia, și care s-a specializat în servicii destinate agenților de publicitate pe internet, companiilor de jocuri online, dezvoltatorilor de software și comerțului electronic. Printre domeniile sale de găzduire web se numără DDoS.com, 1-800-HOSTING și SecureVPN.com.

Deși cunoscute în domeniul tehnologiei, numele lui Gubarev și al companiile sale au intrat în atenția publicului în ianuarie 2017, după publicarea textelor scrise de fostul spion britanic, Christopher Steele.

Scrise în 2016, acestea includeau acuzații obscene, neverificate, la adresa fostului președinte american Donald Trump. Mai târziu s-a aflat că analiza fusese solicitată de o firmă de avocatură din Washington, în numele Partidului Democrat din SUA.

Textele, care au fost distribuite reporterilor de la Washington și publicate de BuzzFeed sunt cunoscute drept „Dosarul Steele”. Acestea arătau că XBT / Webzilla și companiile afiliate au jucat un rol cheie în accesarea ilegală a computerelor Partidului Democrat din SUA, în primăvara anului 2016, ceea ce a dus la dezvăluirea unor in formații despre care mulți comentatori cred că au contribuit la eșecul electoral al lui Hillary Clinton și victoria lui Donald Trump în alegerile prezidențiale din SUA. Se mai spunea că Gubarev ar fi fost constrâns să furnizeze servicii și informații principalei agenții de securitate internă din Rusia, cunoscută sub numele de FSB.

Rapoarte ulterioare ale agențiilor americane de informații și rechizitorii redactate de procurori au acuzat Agenția de informații militare din Rusia, cunoscută sub numele de GRU, de punerea la cale a atacului cibernetic. Agenția rusă de informații externe, numită SVR, a fost implicată atât în acea colectare și scurgere de informații, cât și în atacul cibernetic masiv cunoscut sub numele de SolarWinds, care a vizat zone mari din sectoarele public și privat ale SUA anul trecut.

Gubarev a negat acuzațiile și a dat în judecată BuzzFeed pentru publicarea Dosarului Steele. Cazul a fost respins până la urmă, dar la primele audieri, un expert tehnic care fusese șef de cabinet al Diviziei Cibernetice a FBI din Washington, D.C., Anthony Ferrante, a depus mărturie în numele avocaților BuzzFeed.

Ferrante a declarat că grupurile rusești de spionaj cibernetic au folosit servere XBT pentru a desfășura campanii de „spear-phishing” (obţinerea de informaţii confidenţiale), împotriva politicienilor din Partidul Democrat. Infrastructura deținută de XBT a fost folosită pentru a sprijini campaniile cibernetice sponsorizate de statul rus, a mai spus expertul.

Într-un email de răspuns către Europa Liberă, Val Gurvits, avocat din Statele Unite al lui Aleksei Gubarev (care s-ar afla afla acum în Cipru) confirmă că XBT a găzduit o parte din operațiunea Methbot. Dar, spune el Gubarev și conducerea XBT ar fi „eroi necunoscuți” în acest caz, deoarece au anulat contul imediat după publicarea raportului White Ops, în decembrie 2016, și au păstrat hard disk-urile drept dovadă.

„Faptul că există acest proces se datorează Webzilla și domnului Gubarev. Nici o sursă de încredere nu a putut acuza Webzilla”, a spus el.

În timpul audierilor din 5 mai 2021, Kostiantin Bezruchenko, expert tehnic pentru Webzilla și Servers.com, a indicat că Zhukov îl cunoștea personal pe Gubarev și l-a invitat pe acesta la un concert, în Cipru, în septembrie 2016. Zhukov ar fi zburat din Bulgaria cu un avion privat, iar Gubarev s-a alăturat lui Zhukov în călătoria înapoi în Bulgaria.

Mathew Schwartz de la DataBreachToday, a declarat că cazul Methbot arată cât de neclară a devenit granița dintre activitatea infracțională online și campaniile cibernetice sponsorizate de țări și folosite nu doar de serviciile de informații rusești, ci și de cele din SUA și din întreaga lume.

„Pentru spioni, folosirea infrastructurii construite de și pentru infractori are logică: este mai dificil pentru victime sau agențiile de informații străine să afle dacă o anumită activitate este o infracțiune privată sau este condusă de un guvern", a spus el pentru Europa Liberă.