Știri și investigații de securitate aprofundate

despre

Cine este Paunch?

Săptămâna trecută, lumea a primit primele priviri ale unui bărbat pe care autoritățile ruse l-au acuzat că este „Burtă,”Un pionier criminal al computerului al cărui pachet„ Blackhole ”criminalistic a alimentat o explozie de criminalitate cibernetică în ultimii ani. Până în prezent, puține detalii despre inculpatul în vârstă de 27 de ani au fost eliberate, cu excepția unor imagini ale unui flăcău mândru și a unei liste cu presupusele sale încălcări. Postarea de astăzi urmează câteva indicii din recenta mediatizare, care arată toate că există o identitate foarte probabilă pentru acest tânăr.

Dmitry Fedotov din Togliatti, Rusia.

Prima poveste din presa occidentală despre arestarea lui Paunch a venit pe oct. 8, 2013 de la Reuters, care a citat un fost detectiv de poliție rus anonim. Dar știrile inițiale despre arestarea lui Paunch par să se fi spart pe blogurile de știri rusești cu câteva zile mai devreme. Pe oct. 5, presa rusă neslushi.info a postat că un hacker pe nume Dmitry Fedotov fusese arestat cu o seară înainte în Togliatti, un oraș din regiunea Samara, Rusia. Povestea a menționat că Fedotov a dorit să creeze un program care a fost folosit de diferite grupuri de criminalitate organizată pentru a sifona aproximativ 26 miliarde de ruble (866 milioane USD) de la bănci nenumite. O altă poveste de pe site-ul local de știri Samara.ru pe oct. 8 referințe un Dmitry F. din Togliatti.

Acesta este un avantaj interesant; Povestea săptămânii trecute despre Paunch a citat informații publicate de firma rusă de criminalistică Grupa-IB, care nu a inclus numele real al lui Paunch, dar a spus că el locuia în Togliatti.

Trecem rapid la ultima săptămână și vedem din publicația rusă Vedomosti.ru o poveste care afirmă că Paunch deținea propria sa companie de dezvoltare web. Această poveste a citat, de asemenea, Group-IB, spunând că Paunch are experiență ca manager de publicitate. Acest profil Yandex include un CV pentru un Dmitry Fedotov de la Togliatti, care este specializat în programare web și publicitate și listează „hack bani” în secțiunea sa „obiective profesionale”. De asemenea, se precizează că Fedotov a participat la Universitatea de Stat din Volga în perioada 2003-2005.

Profilul Yandex pentru Fedotov spune că compania sa este un site numit „neting.ru,”O firmă de dezvoltare web. Înregistrările actuale de înregistrare a site-ului Web pentru acel domeniu nu includ numele unui proprietar, dar o înregistrare istorică WHOIS comandată de la domaintools.com arată că neting.ru a fost inițial înregistrat în 2004 de către un Dmitry E. Fedotov, folosind adresele de e-mail [email protected] și [email protected].

O pagină de contact în cache pentru neting.ru la archive.org arată aceeași adresă de e-mail [email protected] și include o adresă de mesagerie instant ICQ, 360022. Potrivit ICQ.com, acea adresă aparține unui utilizator care a ales porecla „gras,”Ceea ce se traduce aproximativ prin„ gras ”.

Un utilizator care a ales porecla „tolst” sau „gras” a postat această imagine a noului său Porsche Cayenne în martie 2013

Aceasta aduce ceva ce vreau să abordez din povestea săptămânii trecute: Unii cititori au spus că au considerat că nu este sensibil la mine să subliniez că însuși Paunch a atras atenția asupra trăsăturii sale fizice cele mai evidente. Dar acest lucru pare a fi un detaliu foarte important: Paunch avea obiceiul să aleagă porecle autosuflante.

Imaginile Paunch lansate de Group-IB arată un tânăr greu și Paunch pare să fi ales porecle care au atras atenția asupra mărimii sale. O adresă de e-mail despre care se știe că a fost utilizată de autorul Blackhole a fost „[email protected]” („paunchik” înseamnă „gogoașă” în rusă). Utilizatorii kitului Blackhole care doreau să-și plaseze reclamele în kitul criminalistic în sine, astfel încât alți clienți să vadă anunțurile, au fost instruiți să plătească reclamele prin trimiterea de fonduri către o poșetă Webmoney Z356971281174, care este legată de ID-ul Webmoney 561656619879; că ID-ul Webmoney folosește pseudonimul „puzan”, o variantă a cuvântului rusesc пузо sau „burtă”.

Se pare că „tolst” a fost o poreclă obișnuită aleasă de Paunch. Putem vedea un utilizator care a ales aceeași poreclă „tolst” postând într-un forum auto rus în martie 2013 despre noua sa călătorie: un Porsche Cayenne alb. Potrivit acestei fotografii lansate de Group-IB, Paunch deținea și un Porsche Cayenne alb. Tolst a postat aici imagini cu interiorul Porsche-ului său.

Întrebările frecvente arhivate ale Neting.ru indică o pagină oficială de plată la moneda virtuală Webmoney, care include numele Dmitry E. Fedotov și numărul ICQ 360022. Același cont Webmoney apare pe wmid.name, un site care listează deținătorii de cont care au un reputația de a întârzia cu plățile promise. Ultimul cont din partea de jos a acelei pagini este o intrare care listează același ID Webmoney, împreună cu Dmitry Evegeny Fedotov„Data nașterii (6 noiembrie 1986), numărul pașaportului (3606578837) și adresa fizică. Nu este clar când Fedotov a fost adăugat la această listă, dar este posibil ca el să nu fi putut pur și simplu să plătească pentru tranzacțiile promise din cauza arestării și detenției sale de la începutul lunii octombrie.

Acest profil Odnoklassniki pentru un Dmitri Fedotov din Togliatti își pune și ziua de naștere la noi. 6 și spune că a participat la Universitatea de Servicii de Stat din Volga din 2003 până în 2005.

La început, Fedotov pare să-și câștige existența scriind și vânzând scripturi web pentru diverse site-uri de schimb valutar online. Dar până în 2009, acest tânăr era din ce în ce mai interesat de securitatea computerelor - în special de vulnerabilitățile browserului web.

Comunitatea web Fido20.ru include un membru numit „tolst” din Togliatti care își dă numele Dmitri Fedotov și a fost foarte activ în discuții despre securitatea rețelei, confidențialitatea și hacking-ul. În această postare din 2009 intitulată „Vulnerabilități în browsere și pluginurile lor”, Fedotov poate fi văzut avertizând utilizatorii despre vulnerabilități noi nespecificate în Apple Quicktime și Microsoft DirectX versiunile 7 până la 9.

Într-un alt fir, Fedotov încurajează partajarea exploatărilor browserului și oferă linkuri către mai multe arhive de vulnerabilitate. El le spune, de asemenea, membrilor colegilor de pe forum că cer să fie piratați dacă lasă diferite pluginuri de browser activate.

„Așa cum am făcut înainte, cer tuturor utilizatorilor, precum și profesioniștilor în securitate IT să dezactiveze toate pluginurile și suplimentele din browserele lor”, a avertizat membrii forumului Fedotov. Nu credeți că, dacă nu sunteți utilizatori de bani pe Internet (bani pe web), nu există pericolul de a fi infectați. În acest caz, computerele infectate sunt transformate în proxy-uri de șosete, roboți spam/ddos ​​și toată activitatea proastă se face sub numele dvs., astfel încât oamenii legii să vă pună toată vina pe umerii dvs. Navigare sigură și noroc pentru tine. ”

Această intrare a fost postată luni, 9 decembrie 2013 la ora 14:21 și este arhivată sub pesmet. Puteți urmări orice comentariu la această intrare prin fluxul RSS 2.0. Atât comentariile, cât și ping-urile sunt închise în prezent.