A maces világ tavaly élte át eddigi legnagyobb vírusfertőzését, amikor is a Flashback trójai a Java OS X-verziójának sebezhetőségét kihasználva több mint 650 ezer számítógépet fertőzött meg, mikorra – épp egy éve – az Apple kiadott egy hibajavító szoftverfrissítést (az Oracle már februárban orvosolta a hibát). Az évforduló kapcsán Brian Krebs, a neves biztonsági szakértő informatív blogbejegyzésében nemcsak a történteket foglalta össze, hanem azt is közli, hogy kutatómunkája során azonosította a vírus íróját is.

Bevezető megjegyzéseiben Krebs felhívja a figyelmet arra, hogy habár az F-Secure elemzése megvilágította a malware működését, az nem kapott igazán hangsúlyt, hogy mi volt a célja a fertőzésnek. Nos: a Flashback a Google találati eredményeit irányította át harmadik feleknek, hirdetőknek, így termelt pénzt a malware megírójának. Ez mindenképp fontos az illető azonosításához – és Krebsnek ez kedvelt elfoglaltsága, már kialakított egy módszert erre, és több esetben jelentette be, hogy sikerült megtalálnia zombihálózatok üzemeltetőit, számítógépes bűnözőket.

Madarat tolláról

Most is a már bevált módszertant használta, és állítása szerint egy Oroszországban élő fiatalember az, aki alaposan gyanúsítható azzal, hogy ő írta a kártékony programot.

Mivel a Flashback a Google hirdetési rendszerére koncentrált, ezért Krebs azt feltételezte, hogy írója a rossz szándékú keresőoptimalizálók („black hat SEO”) társaságának fontos tagja lehet, az ezzel foglalkozó fórumok egyik főszereplője, illetve képzett e területen. A szakember arra jutott, hogy a vírus írója a szigorúan kontrollált orosz fórum, a BlackSEO.com alapító és egyben aktív tagja.

Krebs ezek után részletesen igyekszik bizonyítani állítását. Rátalált egy beszélgetésre az említett fórumban, amelyben 2012. július 14-én egy „Mavook” nicknevű tag a társak segítségét kéri, hogy hozzáférést kaphasson a Darkode.com, kiberbűnözők által látogatott angol nyelvű fórumhoz. Az érdemességét alátámasztandó a többiek rövid „szakmai életrajzot” is kértek a jelentkezőtől, illetve kérték, hogy adja meg, milyen nicket akar használni a Darkode.com-on. Ő erre azt válaszolta, hogy a „Macbook” lenne a megfelelő, mivel ő hozta létre a botnetet a Flashbackkel, szakterülete pedig exploitok keresése, illetve zombihálózatok felépítése. Ezek után egy ismert cracker már azt is felvetette, hogy munkával kellene megbízni Mavookot.

Krebs ezek után megnézte Mavook adatlapját a BlackSEO.com-on, és ott azt találta, hogy régi motoros, 2005-ben regisztrált, 24-edikként a több ezer tagot számláló fórumban. Az is olvasható, hogy a személyes honlapja egy időben a mavook.com volt. Mivel a tulajdonos a hagyományos doménkeresőkkel nem volt azonosítható, ezért Krebs a domaintools.com archivációs szolgáltatása segítségével ment utána, és azt találta, hogy a fenti domént 2005-ben egy Makszim Szelihanovics nevű férfi regisztrálta Szaranszkban, a Volga középső részén fekvő Mordvin Köztársaság fővárosában.

Innen továbblépve a szakértő további bizonyítékokat keresett, és a doménregisztrációkor megadott e-mail címre rákeresett a Skype felhasználói adatbázisában, és ott a „Maximsd” Skype-nevet találta hozzákötve. Mavook egy másik e-mailt is használt (mavook@gmail.com), és Krebs egy ma már nem működő mordvin zenekereskedelmi oldalon azt találta, hogy ez szintén Maxim Szelihanovicshoz van kapcsolva. Szelihanovics egy újabb e-mail címet is használt ezen az oldalon, ezt is megtalálta Krebs máshol: a férfi ezzel a harmadikkal regisztrált a saját neve alatt nyitott Facebook-fióknál.

És akkor már csak a koronát kellett feltenni a nyomozás eredményére: az első e-mail alapján (kontaktcímként volt megadva) rátalált egy szaranszki, IT outsourcinggal és webtervezéssel foglalkozó vállalkozásra, melyet „Max D. Sell” néven regisztráltak. Ezek után Krebs egy megbízható kapcsolata segítségével hozzájutott az orosz adóhatóság információihoz, amelyből kiderült, hogy a fent említett vállalkozást Makszim Dmitrijevics Szelihanovics, 30 éves szaranszki férfi alapította és jegyeztette be.

Habár a fentiek alapján Krebs elégedett lehet a munkájával, és az általa feltárt adatok alapján egy nemzetközi akció keretében akár eljárást is lehetne kezdményezni Szelihanovics ellen, erre a jelenlegi körülmények között vajmi kevés esély van, mivel Oroszország a legritkább esetben hajlandó együttműködni más országokkal, ha számítógépes bűnözők felderítéséről, elfogásáról, netán kiadatásáról van szó.