В создании ботнета Kelihos заподозрили русского экс-сотрудника компаниях Agnitum и Returnil

Корпорация Microsoft подозревает в причастности к созданию ботнета Kelihos жителя Санкт-Петербурга Андрея Сабельникова, который на протяжении нескольких лет был сотрудником разных ИБ-компаниях, включая антивирусного производителя Agnitum. Об этом пишет Computerworld со ссылкой на информацию со страницы Сабельникова в социальной сети LinkedIn.

С 2005 по 2008 годы Сабельников работал в компании Agnitum, самым известным продуктом которой является фаерволл Outpost Firewall Pro. Факт сотрудничества питерского программиста с Agnitum подтвердил представитель компании, сообщивший, что Сабельников уволился оттуда в ноябре 2008 года по собственному желанию.

С ноября 2008 по декабрь 2011 года предполагаемый создатель Kelihos был сотрудником компании Returnil, выпустившей утилиту Returnil Virtual System. Утилита создает копию ОС Windows в изолированной среде, тем самым защищая исходную систему от действий подозрительных программ.

Последние два месяца Сабельников работал в консалтинговой компании Teknavo. Одним из направлений ее деятельности является создание ПО для финансовой и банковской сфер. При этом издание Digit.ru со ссылкой на представителей Teknavo утверждает, что программист был принят туда на работу месяц назад.

На момент публикации заметки на странице Андрея Сабельникова в LinkedIn отсутствовала какая-либо информация о месте работы. Единственное, что сообщается в соцсети — то, что Сабельников с 2000 по 2003 год обучался в Санкт-Петербургском университете аэрокосмического приборостроения.

О возможной причастности Андрея Сабельникова к созданию ботнета Kelihos стало известно из сообщения в блоге Microsoft. Компания указала, что подала против программиста иск в окружной суд штат Вирджиния. Сабельников, по данным Microsoft, мог создавать или принимать участие в создании Kelihos, а также управлять ботнетом.

Доказательства причастности эксперты обнаружили, проанализировав вредоносную программу. Ботнет Kelihos, объединявший десятки тысяч компьютеров, был обезврежен в сентябре совместными усилиями компаний Microsoft, Kyrus и Лаборатория Касперского. В том же месяце Microsoft подала в суд на жителя Чехии Доминика Александра Пьятти (Dominique Alexander Piatti) и принадлежащую ему компанию dotFREE Group, предположив, что они причастны к регистрации доменов, использовавшихся для управления ботнетом. В октябре стороны заключили мировое соглашение, и Пьятти согласился сотрудничать со следствием.