Автором самого опасного трояна для Mac назван житель России

11/04/2013 14:15

Эксперт в области ИБ Брайан Кребс обвинил жителя Саранска в создании трояна Flashback, на основе которого был создан крупнейший в истории ботнет для Mac OS X. Авторитетный эксперт в области информационной безопасности Брайан Кребс (Brian Krebs) утверждает, что ему известен автор Flashback, самого опасного трояна для компьютеров Apple. Flashback.C, обнаруженный в 2011 г., распространялся под видом установочного файла Adobe Flash Player и требовал для установки в систему ввести пароль. Несмотря на это, на основе сформировался ботнет из более чем 600 тыс. компьютеров под управлением Mac OS X. До сих пор создатель Flashback оставался анонимным, однако, по заявлению Кребса, троян был написан жителем Саранска Максимом Селихановичем. Свое утверждение Кребс строит на собственном признании участника закрытого форума «черных SEO-шников» (поисковых оптимизаторов) BlackSEO.com, известного под ником Mavook. Признание Mavook сделано в переписке по поводу получения им доступа к другому закрытому ресурсу Darkode.com. В ответ на просьбу рассказать о себе, он говорит, что является автором «ботнета на маках Flashback» и просит зарегистрировать его «под каким-нибудь непалевным ником, например macbook». Кребс отмечает, что Mavook мог приписать себе авторство Flashback, желая поднять себя в глазах собеседника, однако он и без того обладает на форуме VIP-статустом и из его профиля видно, что он один из старейших участников форума BlackSEO.com: ник Mavook зарегистрирован в 2005 г. и является 24 по счету из тысячи. Кребс приводит разговор с форума, где Mavook характеризуется как «хороший адекватный человек», способный сдать в аренду связку - серверный инструмент для управления ботнетом. Профиль Mavook указывает на его персональную страницу. Хотя Whois для нее уже давно скрыт, сервис историй Whois domaintools.com показывает, что домен был первоначально зарегистрирован в 2005 г. Максимом Селихановичем в столице в Мордовии Саранске. Для регистрации mavook.com была использована электронная почта h0mini@mail.ru. Поиск по базе данных Skype связывает ее с пользователем под ником Maximsd. Mavook также использует адрес mavook@gmail.com, который также связан с Максимом Селихановичем из Саранска через учетные записи ныне несуществующего сайта saransk-offline.com, сервиса продажи MP3-файлов. Еще один адрес Селихановича - troxel@yandex.ru, использованный для регистрации ныне удаленной учетной записи Facebook Maxim Selikhanovich из Саранска. Ник Troxel был использован на заброшенном сайте торговли mp3 mavook-mp3.com, зарегистрированном на «Mavook aka Troxel» по адресу h0mini@mail.ru. Окончательным доказательством, пишет Кребс, является то, что почта h0mini@mail.ru - это контактный адрес, указанный на сайте мак-rm.com, саранской «Мордовской аутсорсинговой компании», оказывающей услуги ИТ-аутсорсинга и веб-дизайна. По словам источника Кребса, которого сам он называет надежным, и который имеет доступ к базам данных российских налоговых органов, «Мордовская аутсорсинговая компания» зарегистрирована на имя Максима Дмитриевича Селихановича из Саранска.
Источник