Тушинский районный суд города Москвы 5 июня 2013 года повторно арестовал Павла Врублевского, основателя и владельца платежной интернет‑системы ChronoPay. Формально – по делу о хакерской атаке на сайт конкурирующей системы Assist. Однако американский специалист по интернет‑безопасности Брайан Кребс уверен, что главная причина – война в сфере нелегального интернет‑бизнеса: спамерских сетей и подпольных интернет‑аптек, которую Врублевский ведет со своим бывшим партнером Игорем Гусевым. Перед арестом Врублевский дал интервью Vademecum, в котором отверг все обвинения.

Уголовное дело против Павла Врублевского было возбуждено в 2011 году. Его обвиняют в организации хакерской DDoS-атаки на сайт конкурирующей платежной системы Assist в июле 2010 года, с целью отнять крупнейшего клиента – «Аэрофлот».

По версии следствия, он поставил соответствующую задачу ведущему специалисту службы информационной безопасности своей фирмы Максиму Пермякову. Тот вышел на хакеров – братьев Игоря и Дмитрия Артимовичей, которые за $20 тысяч согласились помочь. Действуя через созданную ими же с использованием вредоносных программ сеть зараженных компьютеров, хакеры совершили атаку на информационные ресурсы Assist. В результате одномоментного обращения с запросом на обслуживание от тысяч входящих в спам-сеть компьютеров работа Assist была парализована, как следствие, перестала работать и система оплаты электронных билетов на сайте «Аэрофлота». Компании Assist был причинен ущерб на сумму около 15 млн рублей, а компании «Аэрофлот» – почти на 150 млн рублей. При этом стоит отметить, что своей предполагаемой цели Павел Врублевский так и не достиг: компания «Аэрофлот» ушла от Assist не в ChronoPay, а в «Альфа-банк».

Павел Врублевский обвиняется по ст. 272 «Неправомерный доступ к компьютерной информации» и ст. 273 «Создание, использование и распространение вредоносных компьютерных программ» УК РФ. По первой статье ему грозит до двух лет лишения свободы, по второй – до семи лет, но срок давности по ней уже истек.

Пока шел процесс, Врублевский находился под подпиской о невыезде, однако обвинение потребовало его ареста из-за того, что он якобы угрожал одному из свидетелей по делу. 5 июня 2013 года суд ходатайство удовлетворил и теперь основатель Chronopay проведет за решеткой минимум пять месяцев.

Это легальная сторона дела, но есть и другая. Основатель ChronoPay обладает неоднозначной репутацией, его подозревают в организации под ником RedEye различного нелегального интернет-бизнеса: сети порносайтов, спамерских сетей, форума для порно-вебмастеров Crutop.nu, «черной» платежной системы Fethard.biz и нелегальной интернет-аптеки Rx-Promotion.com. Сам он, впрочем, все это отрицает, более того, в 2009–2010 годах Врублевский даже числился в рабочей группе по борьбе со спамом при Минкомсвязи.

Как рассказал Павел Врублевский в интервью VM, с Игорем Гусевым он впервые познакомился в 2003 году. Тогда они вместе начали создавать платежную систему ChronoPay. Дела шли успешно, но в 2004-м Гусев решил уйти, и предложил Врублевскому выкупить его долю в ChronoPay за $170 тысяч. «Было это в 2004 году. Больше мы с Гусевым не виделись», – утверждает Врублевский. Отношения между партнерами испортились, Гусев обвинил Врублевского в том, что он так и не расплатился до конца за долю в ChronoPay. В 2009 году, по словам Врублевского, спецслужбы решили воспользоваться размолвкой между партнерами и попросили его помочь собрать материал на Гусева, который считался крупнейшим спамером мира. По словам Врублевского, Гусев управлял проектами spamdot.biz (основным закрытым форумом для спамеров) и Glavmed/Spamit.com, партнерской программой по продаже Виагры и других лекарств через спам и нелегальные интернет-аптеки.

Такие аптеки привлекают клиентов прежде всего дешевизной и возможностью купить без рецепта различные рецептурные препараты. Владельцы таких нелегальных сайтов сами не занимаются рекламой, они создают большие партнерские сети, а партнеры уже приводят клиентов на сайт любыми возможными способами, в том числе через спам. Именно поэтому нет, наверное, на планете интернет-пользователя, который не получил бы хоть раз спам с предложением купить Виагру. Регистрация на таких «партнерках», как правило, закрытая и раздается по личным приглашениям. Каждому партнеру выдается уникальная ссылка, с помощью которой можно отследить, сколько клиентов пришло от этого представителя, а также объем покупок, которые они совершили на сайте.

В 2009 году Гусева объявили крупнейшим спамером мира, но, поскольку статьи за спам в УК РФ нет, Следственное управление МВД по Центральному округу Москвы обвинило его по ст. 171 УК в незаконном предпринимательстве. По версии следствия, компания Гусева «Деспмедия» занималась продажей контрафактных лекарств через партнерскую программу нелегальной аптеки Glavmed.com. Гусев покинул страну.

«В первые недели после прикрытия «Деспмедии» количество спама действительно уменьшилось, – говорил в 2010 году руководитель лаборатории облачных и контентных технологий «Лаборатории Касперского» Андрей Никишин. – Однако Glavmed не единственная партнерская сеть, которая занимается фармой, и свято место пусто не бывает. Стоит ожидать того, что другие «партнерки» быстро переориентируются и количество спам-рассылок в сети, рекламирующих фармацевтические препараты, снова вырастет».

Американский эксперт по компьютерной безопасности Брайан Кребс уверен, что возбуждение уголовных дел против Врублевского и Гусева – результат конкурентной борьбы бывших партнеров на рынке нелегальной торговли лекарствами. «Деспмедия» и SpamIt закрыты, но проект Glavmed.com по-прежнему работает (хотя на главной странице и написано, что использовать спам строго запрещено), Врублевский же, по данным Кребса, тоже владеет нелегальной интернет-аптекой – Rx-Promotion.com (см. интервью с Брайаном Кребсом на стр. 40).

Согласно расследованию Кребса, Врублевский купил лицензию на интернет-услуги MegaPlan, корпоративной системы управления проектами, финансами и коммуникациями. Через нее он якобы контролировал незаконные операции ChronoPay, в том числе оформление платежей за контрафактные лекарственные препараты, продаваемые через сотни сайтов, аффилированных с Rx-Promotion.com.

Разбираясь в делах MegaPlan, Кребс выяснил, что сотрудники ChronoPay отслеживали платежи, заказывали товар и осуществляли рекламную деятельность для Rx-Promotion.com. Хотя сотрудники и использовали псевдонимы для общения в системе, они отправляли электронные сообщения на реальные адреса электронной почты, что позволило идентифицировать их. Некоторые сотрудники Rx-Рromotion.com числились по документам в штате ChronoPay, утверждает Кребс.

Врублевский заявил VM, что нелегальным бизнесом никогда не занимался, а расследование Кребса, как и уголовное дело – информационная атака, инспирированная конкурентами с целью отнять или уничтожить ChronoPay.

ЭКСПЕРТИЗА
≪Glavmed заработала $150 млн≫

По образованию американский журналист Брайан Кребс искусствовед, однако в 2001 году его компьютер был атакован китайскими хакерами, что пробудило в Кребсе интерес к киберпреступности и компьютерной безопасности. Он много лет вел посвященный этой тематике блог The Security Fix на сайте американской газеты The Washington Post, а в декабре 2009 года решил запустить собственный проект – KrebsOnSecurity.com.

История Гусева, Врублевского и компании ChronoPay давно является предметом его профессионального интереса, он даже завел в своем блоге специальный раздел pharma-wars («фармвойны»), начал изучать русский язык и в 2011 году приезжал в Москву, чтобы встретиться с Павлом Врублевским лично. В 2014 году Кребс планирует выпустить книгу об истории ChronoPay.

По просьбе Vademecum Брайан Кребс ответил на несколько вопросов.

– Почему вы заинтересовались личностью и делом Врублевского?

– Мое первое знакомство с господином Врублевским пришлось на 2009 год, когда я готовил материал для The Washington Post о фальшивых антивирусах (так называемом scareware) [вирусные программы, которые пугают пользователя замаскированными под окна Windows сообщениями о том, что компьютер заражен вирусами и предлагают срочно «купить антивирус», то есть выслать деньги мошенникам. – VM].

Я заинтересовался его личностью, потому что отслеживание одного из компонентов scareware, заразившего в то время миллионы компьютеров, привело к компании, имевшей сильные связи с ChronoPay и собственно c самим Врублевским.

– Не могли бы вы вкратце описать бизнес-схему Врублевского?

– ChronoPay является поставщиком платежных услуг, который, по существу, берет на себя риски, которые другие платежные системы не готовы принять. Система создала большую базу легальных клиентов, а потом начала использовать доступ к глобальной платежной сети для того, чтобы обслуживать потенциально очень прибыльный, но рискованный бизнес, такой как фальшивые антивирусы или нелегальные интернет-аптеки. Мои статьи и тысячи раскрытых внутренних документов ChronoPay показывают, что Врублевский в 2007 году стал одним из основателей нелегальной интернет-аптеки Rx-Promotion. Эта аптека специализируется на продаже без рецепта препаратов, которые строго контролируются во многих странах, включая Соединенные Штаты, где проживает подавляющее большинство клиентов.

Речь об обезболивающих, синтетических опиатах и так далее. Просочившиеся документы показывают также, что сотрудники ChronoPay по поручению владельца компании создали множество подставных компаний, оффшорных счетов и партнерских сетей для того, чтобы платить людям, которые распространяли фальшивые антивирусы и продвигали нелегальные интернет-аптеки с помощью спама и взлома веб-сайтов.

– Почему все решили, что Rx-Promotion и Glavmed принадлежат Врублевскому и Гусеву?

– Данные Glavmed стали известны благодаря утечке информации, которая содержала переписку между владельцами компании и ее партнерами. Из этой информации четко видна структура организации Glavmed и близкого этой аптеке сайта SpamIt, который использовался для продвижения нелегальных интернет-продаж самыми крупными спамерами в мире. Партнеры Glavmed способствовали продвижению этой аптеки с помощью спама, манипуляций с поисковыми системами и взлома веб-сайтов. Наиболее успешные партнеры Glavmed и Rx-Promotion одновременно являются операторами крупнейших спам-сетей на планете. Они постоянно заражают вирусами миллионы компьютеров для рассылки спама и поддержки своих бизнес-моделей.

– Как же эти двое делали деньги?

– Они запускали сайты-«спонсоры» и привлекали партнеров. В такой схеме спонсор является нелегальным интернет-магазином. Он заботится обо всех аспектах бизнеса, включая закупку товаров для продажи, обслуживание клиентов и доставку.

Роль партнеров – в продвижении спонсора любыми доступными средствами, включая спам и т. п. Если речь об интернет-аптеках, то партнер получает обычно 30%-45% от каждой покупки, сделанной привлеченным через него клиентом. Спонсоры зарабатывают 15%–20% от оборота (за вычетом всех упомянутых выше расходов).

– Можете ли вы назвать объемы их фармацевтического интернет-бизнеса?

– За четыре года программа SpamIt/GlavMed заработала чуть больше $150 млн.

– Владеете ли вы какой-либо информацией о Гусеве? Встречались с ним лично?

– Не знаю точно, где он. Cлышал, где-то в Испании. Я хотел с ним встретиться, когда был в Москве в 2011 году, но он отказался со мной встречаться даже в «нейтральной» стране.

– Какое наказание ждало бы Гусева и Врублевского в США ?

– У меня нет данных о возбуждении против них каких-либо дел, так что сложно сказать.

– Что вы можете сказать о Врублевском как о человеке?

– Иногда он симпатичный, приветливый, смешной и очень разговорчивый. В других случаях может быть очень грубым, склонным к сильным колебаниям настроения и угрюмым.

– Некоторые говорят, что вас нанял Касперский, российское правительство или конкуренты ChronoPay, что вы думаете по этому поводу?

– Не знаю, откуда это взялось, но это неправда. Касперский платил мне лишь раз, за написание внештатной истории для одной из своих публикаций пару лет назад (SecureView), но это единственный раз, когда они платили мне.