WFC и полицейское расследование

в 9:49, , рубрики: изъятие серверов, информационная безопасность, Канада, полиция, суд, ФБР, хостинг

Уважаемые клиенты, друзья и коллеги. Вашему вниманию предлагается История с продолжением.

История с арестом полицией наших серверов летом 2013 года весьма поучительна не только для нас, но и для всех хостеров, а также тех, кто интересуется работой хостинговых компаний. Поскольку расследование полицией дела практически завершено, мы считаем возможным опубликовать некоторые материалы, проливающие свет на причины и хронологию произошедшего. Сразу скажем, что произошедшее маловероятное событие стало стечением нескольких маловероятных обстоятельств. Мы просто попали под каток компании, проводимой ФБР США и «Майкрософт».

Наша компания зарегистрирована в Канаде в 2009 году и действует с этого времени в рамках канадского законодательства как хостер (под брендом cadedic.ru). Как и все хостеры, мы реагируем на абузы, особенно на тяжкие, и следуем своей политике безопасности. Согласно законодательству Канады, мы допускаем размещение контента, не представляющего угрозы функционированию компьютеров и сетей связи. Наша реакция на такие абузы как спам, ботнеты, распространение вирусов, кардинг, совпадает с общепринятой – это блокирование абузных серверов и предупреждение клиента о недопустимости такой деятельности, а при повторном случае – отказ в обслуживании и разрыв договора без компенсации.

Для нас началом истории послужило размещение одним из наших клиентов (или же, как версия, его аккаунт был взломан) управляющего центра ботнета Citadel на нашем сервере. Ботнет Citadel изначально создавался как специализированная криминальная система. Citadel состоит из агентов и управляющего центра. Агент распространяется как вирус, устанавливается на компьютере жертвы и занимается самораспространением. Сидя на компьютере жертвы, агент логгирует клавиатуру и работу броузеров. Когда жертва заходит в онлайн банкинг агент сохраняет данные доступа. Контролирующий центр время от времени соединяется к агенту и получает данные, которые хранит в одном лишь ему известном месте. То есть это чистый криминал.

В апреле-мае 2013 года преступники воспользовались данными украденными у клиентов и перевели с их счетов около 300 миллионов долларов. Пострадали клиенты банков Citigroup и J.P.Morgan. Это была пощечина дяде Сэму, на которую тут же наступила реакция. ФБР тут же приступила к расследованию и 5 июня обрушила сеть контролирующих центров, расположенных в США.

8 июня в Нью-Йорке были арестованы несколько человек, бывших граждан СССР, которые обвиняются в создании и управлении этой сетью. ФБР разослало в полиции всех стран предупреждающее письмо с просьбой внимательно отслеживать и уничтожать контролирующие центры ботнета Citadel.

13 мая некий мерзавец разместил управляющий центр сети Citadel на виртуальном сервере, расположенном в нашей сети. Получив абуз от Spamhouse, мы его удалили. 14-го же июня Spamhouse вновь засек Citadel на нашем сервере. К сожалению, мы находились в процессе подготовки к переезду в новый датацентр и не отреагировали на эту жалобу мгновенно. Бравые канадские полицейские из E-Division оказались быстрее и 14-го июня 2013 года в 15.30 по ванкуверскому времени они уже успели получить Court Order и выключили ВСЕ наши сервера.

Далее мы будем вставлять купюры из Warrant search, который наши адвокаты наконец-то получили. Полностью опубликовать документ не представляется возможным – в нем 32 страницы. Документ написан полицейским офицером, ведущим расследование. Без перевода.

Итак, развитие событий выглядело следующим образом.

WFC и полицейское расследование - 1
WFC и полицейское расследование - 2
WFC и полицейское расследование - 3
WFC и полицейское расследование - 4
WFC и полицейское расследование - 5
WFC и полицейское расследование - 6

Как вы видите, эти события мы не могли ни предполагать, ни остановить. Естественно, что все сотрудники нашего датацентра находились в шоке, все ходили под подозрением в участии в криминале. Полицейские сняли отпечатки пальцев на телекоммуникационных шкафах и допросили всех людей, кто хоть когда-нибудь прикасался к нашим шкафам, в общем, весь персонал датацентра и контракторов. На настоящий момент все подозрения с наших товарищей сняты.

Все сервера возвращены к августу 2013 года и мы приступили к восстановлению сервиса.

Хроника событий:
14 июня 2013 года – размещение ботнета на сервере, полиция получает Court Order;
15 июня 2013 года – изъятие всех серверов, допросы сотрудников Датацентра;
16 июня 2013 года – допрос владельцев компании, привлечение к делу Bull Housser;
17 и 18 июня 2013 года – составление прошений, заявлений, объяснений;
19 июня 2013 года – получение копии Court Order непосредственно из суда, заявление о непричастности к криминальной деятельности;
20 июня – переезд на новое место, установка стоек, подключение электричества и т.п.;
22 июня 2013 года – возврат свичей, серверов биллинга и первого сервера с VPS клиентов;
29 июня 2013 года – возврат 16 серверов, в основном выделенных;
05 июля 2013 года – возвращено 25% всех серверов;
09 июля 2013 года – возвращено 95% всех серверов;
22 июля 2013 года – возвращены все сервера, за исключением двух;
02 августа 2013 года – возвращены последние два сервера.

К чести канадской полиции, можем сказать, что действовали они вежливо, к нашему имуществу относились аккуратно, обещания свои выполняли, на телефонные звонки и электронную почту отвечали быстро.

Хотя мы и не виноваты в случившемся, тем не менее, мы принесли извинения всем пострадавшим от действий канадской полиции и сообщили, что мы продолжаем нашу работу как ни в чем не бывало. Всем оставшимся клиентам были предложены бонусы. Всем были возвращены данные проектов и бэкапы. Мы регулярно держали клиентов в курсе событий и сообщали о текущем статусе работ по восстановлению сервиса. Некоторая часть наших клиентов из тех, кто вынужденно покинул нас из-за этой истории, оценила нашу искренность, трудолюбивость и отношение к клиентам, и вернулась обратно. Но большая часть, конечно, переехала на новые хостинги и мы хотим сказать слова благодарности всем хостерам, кто принял наших клиентов и помог им восстановить работоспособность клиентских проектов. Все-таки, взаимопомощь коллег по индустрии, несмотря на конкуренцию за клиента, это великая сила.

Дальнейшие события развивались так: первым делом надо было восстановить сервис, загрузить мощности. Потом мы приняли решение не оставлять дело без последствий и получить юридическую оценку действий полиции от имени государства Канада.

Это оказалось непросто. Трудно было найти юридическую компанию, которая решилась бы на иск к полиции в таком щекотливом деле, грозящем дойти до высшего суда Канады – Royal Bench Court. Однако, после практически года поисков и десятков переговоров, такая компания была найдена.

Также трудно было найти эксперта, который согласился бы свидетельствовать в суде против полиции. На это тоже ушло длительное время. Тут мы должны сказать неприятные слова в адрес бывших соотечественников, работающих в Microsoft. Мы обратились к нескольким людям с расчетом на помощь, тем более, что они являются специалистами в области безопасности. После изучения вопроса, они ВСЕ по очереди сказали, что да, полиция неправа, но свидетельствовать в суде они не будут и сослались на корпоративные стандарты, возможные последствия и нежелание портить себе комфортную жизнь. Хотели привлечь в качестве экспертов «Лабораторию Касперского» как весьма уважаемую на западе компанию. К сожалению, наши обращения к ним, письма и звонки остались без ответа. Весьма печально было остаться без поддержки.

В конце концов мы нашли эксперта по безопасности, иранца по происхождению, который известен в своих кругах и является авторитетным исследователем ботнетов. Он, как только услышал о сути дела, немедленно дал согласие на свое участие в деле.

Итак, иск был подготовлен, эксперт найдет, сумма иска определена.

В начале ноября 2014 года мы подали иск в окружной суд Ванкувера и направили исковое заявление ответчикам – юридический департамент Канадской полиции.

В настоящий момент суд зарегистрировал заявление и Ответчики обязаны к середине января 2015 года ответить, хотят ли они досудебного разбирательства и возможного соглашения или готовы начинать судебное производство.

Суд протянется долго, несколько лет, по плану должен завершится в 2017 году, если не будет аппеляций, или в 2019 году, если аппеляции в Высший суд будут поданы. Так что запасаемся попкорном и ждем.

Мы будем публиковать информацию о ходе судебного процесса в этой статье.

Изначально мы планировали привлечь к иску всех клиентов, кто пострадал, но в силу особенностей канадского законодательства, мы это сделать не можем. Однако, в случае успеха нашего иска, любой такой клиент сможет обратиться с иском к канадской полиции со ссылкой на наш прецедент.

Спасибо всем, кто дочитал до конца. Успеха вам в вашем бизнесе.

Автор: WFC

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js