Уважаемые читатели, злопыхатели, фанаты и PR-агенты просим продублировать все обращения за последние три дня на почту [email protected] . Предыдущая редакционная почта утонула в пучине безумия. Заранее спасибо, Макс

Дуэль черных фармацевтов

06.02.2020 13:55


Основатель платежной системы Chronopay Павел Врублевский, по данным ФСБ, был совладельцем подпольной сети по продаже фармацевтических препаратов в интернете RX-Promotion. В результате войны между Врублевским и его бывшим партнером Игорем Гусевым, создавшим другую фарма-сеть — Glavmed, оба проекта закрылись, а их владельцы поимели проблемы с законом.

В материалах уголовного дела о Ddos-атаке на «Аэрофлот», заказчиком которой был признан владелец платежной системы Chronopay Павел Врублевский (вышел из колонии весной 2014 г. по УДО), содержится информация о партнерской онлайн-сети по подпольной продаже фармацевтических препаратов RX-Promotion. На допросах в ФСБ гендиректор компании «Технические решения» Юрий Кабаенков (сетевой ник Hellman) признал, что сеть принадлежала ему и Врублевскому.

Кабаенков рассказал, что он отвечал за техническую часть проекта и получал от 5% до 7% от продажи каждого лекарственного препарата, зарабатывая таким образом от $10 тыс. до $15 тыс. в месяц. Хакер Игорь Артимович, признанный судом исполнителем Ddos-атаки на «Аэрофлот», также признал, что сеть RX-Promotion принадлежала Врублевскому и Кабаенкову. По его словам, через сеть продавались такие препараты, как фентермин, викодин, кодеин, валиум, трамадол, ултрам, сома, лунеста, аддерал, оксикодон, оксиконтин, гидрокодон и др.

Хакеры на службе фармацевтики
Российский вице-премьер Сергей Иванов (слева) и учредитель ChronoPay Павел Врублевский на матче российской баскетбольной лиги, апрель 2011 года. Фото rusecurity.com
Игорь Артимович и его брат Дмитрий (также был осужден за участие в Ddos-атаке) ранее работали в других партнерских программах, в частности, занимались развитием сети Glavmed, создателем которой считается экс-совладелец Chronopay Игорь Гусев. С целью рассылки спам-сообщений с рекламой фармацевтических препаратов братья Артимовичи создали вредоносное программное обеспечение Topol-Mailer: устанавливаясь на компьютеры жертв, оно создавало бот-сеть для распространения спама.

Будучи недовольными сотрудничеством с Glavmed, братья Артимовичи через форум «серых» веб-мастеров CruTop вышли на связь с неким человеком под ником RedEye (они уверены, что это был Врублевский). Чтобы продемонстрировать ему свои возможности, братья в начале 2010 г. с помощью все того же Topol-Mailer произвели успешную Ddos-атаку на сервер RX-Promotion.

Согласно показаниям Артимовичей и Кабаенкова, после этого Врублевский устроил встречу между ними. Но Кабаенков заявил, что программное обеспечение RX-Promotion не требует доработок, и в услугах Артимовичей он не нуждается. Тем не менее, между Врублевским и Артимовичами началось сотрудничество.

В материалах уголовного дела говорится, что в 2010 г. Врублевский поставил задачу сотруднику службы безопасности Chronopay Максиму Пермякову организовать Ddos-атаку на платежную систему «Ассист», обслуживавшую «Аэрофлот». Атака была осуществлена с помощью Артимовичей через бот-сеть Topol-Mailer.

Игорь Артимович пояснил, что он вместе со своим братом Дмитрием и Врублевским собирался запустить две новые партнерские программы по продаже фармацевтики: Minzdrav и MediCash. Для этих проектов требовались инвестиции, которые Врублевский согласился дать в обмен на участие Артимовичей в Ddos-атаке. Из-за ареста же летом 2011 г. всех четверых фигурантов по делу «Аэрофлота» новые партнерские сети не были запущены.
Украденная переписка

Показания Артимовича и Кабаенкова — не единственные свидетельства причастности Павла Врублевского к RX-Promotion. В распоряжение американского журналиста Брайна Кребса оказалась служебная переписка Chronopay, осуществлявшаяся через облачную intranet-систему Megaplan. Из нее следовало, что Chronopay курирует деятельность RX-Promotion, за которым стоят Hellman (то есть Кабаенков) и RedEye (считается ником Врублевского).

Отвечал за данный проект, согласно переписке, сотрудник службы безопасности Chronopay Станислав Мальцев (ник Heppner). Ранее Мальцев был следователем МВД и расследовал дело анонимного интернет-банка Fethard Finance. Врублевский проходил свидетелем по данному делу, но после перехода Мальцева на работу в Chronopay расследование заглохло.

В свою очередь, экс-совладелец Chronopay Игорь Гусев, находившийся в серьезном конфликте с Врублевским, выкладывал видео с вечеринки партнеров сети RX-Promotion. Ее вели Врублевский и Кабаенков. Также Гусев распространил записи телефонных переговоров Врублевского и Кабаенкова, обсуждавших дела RX-Promotion. Были выложены и записи переговоров других сотрудников Chronopay на соответствующую тему, в частности, Максима Пермякова, Станислава Мальцева и главного казначея Юлии Рокитской.

Помимо этого Гусев распространил и электронную переписку сотрудников Chronopay относительно RX-Promotion. В письмах часто говорилось о проблемах с платежными системами Visa и Mastercard, блокирующими транзакции за оплату лекарственных препаратов ограниченного распространения. В качестве одного из способов решения проблемы предлагалась осуществлять процессинг фармацевтики под аккаунтом интернет-магазина косметики.

В одном из писем сотрудница Chronopay Александра Созинова высказала опасение, что в ходе возможного обыска у нее могут изъять ноутбук с большим количеством конфиденциальной информации о Кабаенкове. В другом письме Юлия Рокитская уточнила, что прибыль от RX-Promotion делится поровну между Кабаенковым и Врублевским (то есть Кабаенков в своих показаниях занизил свою долю прибыли). При этом Рокитская отметила, что RX-Promotion пользуется услугами техподдержки Chronopay, поэтому доля Врублевского от прибыли сети в реальности больше половины. Если же Кабаенков узнает себестоимость этих услуг, то он может от них отказаться, писала казначей Chronopay.
Как делаются и делятся деньги

Идея RX-Promotion и других подобного рода сетей строится на том, что на Западе для покупки обычных лекарств, включая, например, виагру, требуется предъявление рецепта. Такие сети позволяют приобретать лекарства без рецептов с доставкой из стран Азии. Кроме того, основной ассортимент таких сетей состоит из «дженериков» — препаратов-подделок под известные бренды.

RX-Promotion торговала также и «контролами»: наркосодержащими лекарственными препаратами, оборот которых в официальной торговле ограничен. В связи с этим в 2011 г. Федеральная служба по контролю за оборотом наркотических средств даже провела рейд по одной из вечеринок веб-мастеров RX-Promotion в клубе Golden Palace.

Поскольку такая деятельность не является легальной, RX-Promotion и другие сети не могут создать каких-либо широко-раскрученных сайтов. Вместо этого организуются партнерские сети: любой желающий веб-мастер может войти в такую сеть и создать собственные «витрины». За каждого приведенного покупателя веб-мастер получает свой процент. Основной метод продвижения такой продукции — почтовый и поисковый спам.

По словам Игоря Артимовича, обычно веб-мастер получает около 40% от объема покупки. 13% уходит поставщикам продукции, 10% — процессинговой компании, обеспечивающей платеж. Около 7% партнерская сеть тратит на организационные расходы: сервера, call-центр, charge-back (возвраты платежей по фальшивым кредиткам, обычно на них приходится около 1-1,5%). Остальные 30% — это прибыль партнерской сети. В лучшие времена оборот Glavmed составлял порядка $10 млн в месяц.

Артимович говорит, что выгоднее всего продавать «контролы»: их покупают сразу крупными партиями, в среднем на $600. Это примерно в пять раз выше среднего чека на покупку виагры. Правда, «контролы» и сложнее всего продавать: далеко не все платежные системы готовы осуществлять соответствующий процессинг.
Война по всем фронтам

Павел Врублеский заявил, что он не имел отношения к RX-Promotion. Между тем, несколько лет назад Врублевский сам рассказал широкой общественности о таком явлении, как подпольная онлайн-фармацевтика. В 2009-2010 гг. он активно обвинял своего бывшего партнера Игоря Гусева в создании крупнейшей на тот момент партнерской сети Glavmed. А поскольку для распространения продукции Glavmed широко использовал спам, Врублевский называл Гусева «спамером №1 в мире».

Фактически с подачи Врублевского в 2010 г. МВД возбудило уголовное дело в отношении Гусева о нелегальном предпринимательстве. В рамках дела в офисе Гусева были проведены обыски, сам он покинул Россию, а афилированная с Glavmed партнерская сеть Spamit прекратила существование. Позднее был арестован партнер Гусева Дмитрий Ступин.

Кроме того, у Glavmed украли базу данных об ее американских клиентах, которая была передана властям США. Когда же оперативники ФСБ изучали панель управления Topol-mailer, которая использовалась для атаки на «Аэрофлот», то обнаружили там следы Ddos-атак на целый ряд фармацевтических ресурсов, конкурирующих с RX-Promotion, в том числе и тех, что считались связанными с Гусевым: Glavmed.com, Spamit.com, Spamdot.us, Stimul-cash.com, Your-pials-online.com, Ehost.by, Spampeople.net и др.

Следы атаки на фармацевтические ресурсы со стороны Topol-Mailer нашел и Брайн Кребс, изучавший поведение данной Ddos-сети. Согласно приведенному Кребсом исследованию компании SecureWorks, Topol-Mailer (другое название — Festi) атаковал, в числе прочего, форумы gofuckbiz.com и armadaboard.com, предположительно принадлежавшие Гусеву. Среди жертв Topol-Mailer оказался и сайт RedEyeBlog, на котором Гусев размещал компромат на Врублевского.

Война за передел рынка подпольной онлайн-фармацевтики закончилась закрытием и Glavmed, и RX-Promotion. Впрочем, сам рынок остается: к примеру, на нем продолжают работать партнерские сети Stimul-Cash и RX-Partners, которые некоторые источники CNews связывают с программистом Леонидом Куваевым [...].

[habrahabr.ru, 12.08.2010, "Король спама" Леонид Куваев посажен в тюрьму, но дело его живёт": Находясь в России, Куваев значительно расширил свой бизнес. Он развернул партнёрскую программу Mailien, которая до сих пор активна, несмотря на отсутствие Куваева. По этой программе работает ряд партнёрских сайтов, которые будут генерировать Куваеву доход в течение всего времени, пока он находится в тюрьме. — Врезка К.ру]

Но для Врублевского война могла иметь более серьезные последствия, чем потеря одного из проектов.

Гусев не комментировал свое участие в Glavmed. Однако он выступал в защиту данной сети: Гусев указывал, что если с помощью Glavmed продавали, в основном, виагру, то через RX-Promotion распространяли наркосодержащие препараты.

Кроме того, Гусев активно рассказывал о темных сторонах бизнеса Врублевского. Как уже отмечалось, он организовал специальный сайт с компроматом на своего бывшего партнера, где распространял сведения о связях Врублевского с Fethard и RX-Promotion, с партнерской сетью по распространению жесткой порнографии PornoCruto, с форумом «серых» веб-мастеров CruTop и т.д.

Из материалов, публиковавшихся Гусевым, можно было сделать вывод, что у него хорошие источники в Chronopay. Гусев публиковал электронную переписку сотрудников компании, записи телефонных переговоров, сделанные с офисного коммутатора IP-телефонии, разного рода внутренние документы и т.д.

А в конце 2010 г. Гусев заявил, что произошедшая за полгода до этого Ddos-атака на «Аэрофлот» была заказана Врубелевским. Исполнителем же ее был Игорь Артимович с ником Engel. В подтверждение своих слов Гусев выложил электронную переписку, якобы принадлежащую сотрудникам Chronopay, согласно которой в дни атаки на «Аэрофлот» с электронных кошельков Chronopay в системе Webmoney на счет Engel переводилось по несколько тысяч долларов.

Уголовное дело о данной атаке ФСБ возбудило лишь в мае 2011 г. Причем в его основу легла как раз эта самая переписка. Как заявлял в суде один из руководителей Центра информационной безопасности (ЦИБ) ФСБ, занимавшийся данным делом, изначально эта переписка оказалась в руках оперативников в рамках другого дела — о нелегальной торговли фармацевтическими препаратами в интернете.

С помощью «оперативных возможностей» в системе Webmoney сотрудники ФСБ вычислили IP-адрес, использовавшийся Артимовичем. Через запрос к соответствующему провайдеру стало понятно, кто пользуется данным подключением. Далее, установив перехват трафика с его интернет-канала, оперативники вычислили факт захода на панель управления Topol-Mailer и перехватили логин и пароль от нее. Экспертиза Group-IB подтвердила, что Topol-Mailer — бот-сеть, через которую можно было атаковать «Аэрофлот». Таким образом и было раскрыто дело о Ddos-атаке «Аэрофлота».

Между тем, Брайн Кребс, изучая электронную переписку между Игорем Гусевым и Дмитрием Ступиным, обнаружил в ней интересный пункт. Якобы, пытаясь отомстить Врублевскому за проблемы Glavmed, осенью 2010 г. Гусев заплатил за начало расследования в отношении Игоря Артимовича ($20 тыс. якобы ушло на оплату работы экспертов-криминалистов, еще $30 тыс. были заплачены непосредственно за открытие уголовного дела). Вышеописанные оперативные мероприятия ФСБ и экспертиза Group-IB прошли как раз в тот период времени.

Источник в ФСБ, близкий к данному делу, называет версию о заказе со стороны Гусева «паранойей Врублевского». «Мы действительно вызывали к себе Гусева, но к делу Врублевского он не имел отношения и никаких материалов нам не передавал», — уверяет источник.

Бывший топ-менеджер Chronopay также уверен, что Гусев не только не имел отношения к делу Врублевского, но даже не был первоисточником публиковавшегося им компромата. «Гусев был фигурой, через которую «высшие силы» подавали сигналы Врублевскому», — полагает он.

Игорь Королев