Читаем Я – хакер! Хроника потерянного поколения полностью

Как я понял, после появлений УСБшников в «Лефортово» у Паши они взяли дело на свой контроль. От них в «Хроно» работал прикомандированный фсбшник на пенсии, которого мы кратко звали Саныч. А Паша к тому же называл его дедушкой. Именно он показал нам очень много несуразиц в деле, несовпадения дат и номеров на справках ОРМ.

21 января 2013 года Айвар Л. К. заявила ходайтайство об исключении справок по результатам ОРМ, так как в следствие передавали справки с одними номерами и датами, а в томах уголовного дела были справки с другими номерами и датами.

Историю со справками по результатам ОРМ нам спалил Саныч. Получается, что следствие нарисовало совсем другие документы?

Прокурор Котов выпал в осадок и попросил перенести суд.

21 феврала 2013 года. Суд состоялся только через месяц. Котов принес на заседения справку из ЦИБ ФСБ. Оказывается, у них при передаче документов в следствие поменялись номера. Как же красиво они парировали наш выпад! Все же просто — номера поменялись. Меня до сих пор берут сомнения, что СОРМ проводился на нашем канале, а данные для входа в панель ботнета получены не другим способом.

18 мая 2012 года российское подразделение международного разработчика антивирусного программного обеспечения ESET выпустило исследование «King of Spam: Festi Botnet Analysis»[55]. Проводили это исследование Евгений Родионов и Александр Матросов. По их заявлению, они получили доступ к панели управления ботнетом в том самом 2010 году, в котором проводило исследование Group-IB. О своем тесном официальном сотрудничестве ESET и Group-IB заявили открыто 15 сентября 2010 года[56]. Более того, скриншоты панели управления в уголовном деле и в исследовании ESET совпадали на все 100 %.

Домены muduck.ru и moduck.ru были действительно мои. Название доменов образовывалось из двух слов: МУДАК и УТКА. А вот заявление, что Festi — король спама, явно было притянуто для придания веса «исследованию». Festi тогда рассылал 2–3 милллиона писем в сутки, когда такие ботнеты, как Grum или Cutwail, слали сотни миллионов.

По заявлению Матросова и Родионова, они проводили реверс-инжиниринг бота за февраль 2012 года и из него восстанавливали структуру кода. Реверс-инжиниринг, или обратная разработка, — это процесс восстановления структуры, внутреннего устройства программы по ее машинному коду.

В глаза мне сразу бросилось несколько моментов.

• Матросов нашел в исполняемом файле ссылку на отладочную иформацию, которую я к тому времени уже давно убрал. То есть в февральском боте этих строчек просто не было. Сборка бота происходила в два этапа: сначала C++ файлы компилировались в ассемблер, а дальше ассемблерные файлы собирались в исполняемый файл. Получение промежуточных ассемблерных файлов давало некую свободу по видоизменению кода (то есть можно было аккуратно заменять одну ассемблерную мнемонику на другие), что позволяло обходить попадание в базы данных сигнатур антивирусов.

• Матросов указал старый ключ шифрования протокола общения бота и сервера. При этом он смог расшифровать неверным ключом общение бота с сервером! Точнее, одну сторону общения бот — сервер управления. Обратная сторона сильно видоизменилась и не совпадала с исходным кодом.

• Матросов также указал название модулей управления. DLL (Dymamic Link Labrary) — модули, которые загружал сервер управления. Никакой реверс и доступ к веб-интерфейсу не могут показать названия этих библиотек.

• Матросов смог восстановить названия отдельных функций (прям как Ануфриев из «Касперского»). Компиляция C++ в исполнямый файл — это односторонняя процедура, все названия теряются безвозвратно. И даже при глубокой отладке понять назначение некоторых функций из его «исследования» практически невозможно.

В общем, для меня было очевидно, что ESET делало не реверс-инжиниринг, а исследовало исходный код, скопированный с ноутбука моего брата. Для ESET было очевидно, что я продолжаю пользоваться ботнетом.

Не берусь судить, насколько эти действия по передаче исходных кодов сторонней организации законны. Но Саша Матросов довольно бодро ездил по всему миру и рассказывал, какой он ОХРЕНИТЕЛЬНЫЙ специалист и какой сложный реверс он сделал. После чего свалил работать в США.

Я уже писал про тип людей, которые, даже когда они не правы, стараются извернуться и облить грязью тебя. А есть тип людей, которые пытаются паразитировать на тебе. К сожалению, что первых, что вторых — очень много.

28 января 2013 года я отказался от адвоката Ларисы Абрамовны Мове после промывки мозгов Врублевским. И сделал это зря, что осознал годами позже. Лариса Абрамовна — единственная, кто советовал мне правильные вещи, она практически предугадывала, что будет происходить.

12 марта 2013 года суд разбирает документы и нестыковки в датах. В частности, сначала делали СОРМ с моего канала, а потом только получали на это разрешение в суде. Таких нестыковок было много. Судья Лунина отклоняла все наши ходатайства об исключении материалов, полученных с нарушением законодательства.