Пермскую компанию «ИнфоКуб» заподозрили в связях с преступной группой, которая похитила около миллиарда долларов при помощи вредоносной программы Carbanak. Факты, которые обосновывают эти подозрения, опубликовал сайт Krebs on Security.
Червь Carbanak был обнаружен в 2014 году в ходе расследования, которое вели «Лаборатория Касперского», Европол и Интерпол. При помощи заражённых документов, рассылаемых сотрудникам банков, злоумышленники проникали в банковские сети, а затем использовали это для того, чтобы тем или иным способом вывести деньги — как правило, через банкоматы. Большинство банков, ставших жертвой преступников, располагались в России.
Брайан Кребс, автор сайта Krebs on Security, сообщает, что специалист по информационной безопасности Рон Гилметт обратил внимание на общие черты в регистрационной информации доменов, через которые распространялась вредоносная программа.
Многие из них относятся к китайской компании Xicheng и имеют одинаковый контактный адрес: williamdanielsen@yahoo.com. Известно 484 домена, которые либо имеют тот же контактный адрес, либо приписаны к Xicheng и используют тот же телефонный номер. По меньшей мере 384 из них связаны Carbanak.
Интерес Гилметта привлекли домены, который входят в этот список, но не участвовали в распространении вредоносной программы. Один из них называется cubehost.biz. Из регистрационной информации следует, что он принадлежит жителю Перми Артёму Тверитинову.
На Тверитинова зарегистрированы и другие домены, в частности infokube.ru — официальный сайт пермской компании «ИнфоКуб», которая оказывает услуги, связанные с информационной безопасностью, системной интеграцией, аутсорсингом и хостингом. Согласно пресс-релизам «ИнфоКуба», Тверитинов возглавляет эту компанию.
Krebs on Security утверждает, что многие сайты, распространявшие Carbanak, были размещены на адресах, которые принадлежат «ИнфоКуб». Кроме того, некоторые из адресов «ИнфоКуба» замешаны в другой сомнительной деятельности. В частности, в 2013 году на них располагались командные серверы вредоносной программы Citadel, которые тоже были зарегистрированы на Xicheng.
Кребс нашёл страницу «Вконтакте» Тверитинова и попытался узнать, что он думает по этому поводу. Первый ответ директора «ИнфоКуба» казался дружелюбным. Он с некоторым удивлением интересовался, где Кребс нашёл его электронный адрес.
Пока Кребс сочинял ответ, Тверитинов удалил свой аккаунт «Вконтакте» и написал журналисту другое письмо. Он объявил, что не имеет отношения к сомнительным доменам, а его персональные данные, использовавшиеся при регистрации cubehost.biz, кто-то похитил.
«Наша компания никогда не делала ничего нелегального и ведёт свою деятельность в соответствии с законами Российской Федерации, — написал Тверитинов. — Кроме того, было бы довольно глупо использоать свои собственные персональные данные при регистрации доменов, которые используются для совершения преступлений, мы же ведь специалисты в области информационной безопасности».