Российские «фармацевты» атаковали американский правительственный сайт

mccРоссийская партнерская сеть «Главмед», которая занимается продажей поддельных лекарственных препаратов через интернет, причастна к взлому американского правительственного веб-сайта, сообщила организация LegitScript, которая занимается проверкой деятельности онлайн-аптек.

По данным LegitScript, был взломан сайт американской правительственной организации Millennium Challenge Corporation (www.mcc.gov), которая занимается помощью развивающимся странам. Именно благодаря тому, что организация имеет правительственный статус, она имеет домен в зоне GOV, который управляется Администрацией общих служб США.

С виду сайт www.mcc.gov выглядит обычно, однако если воспользоваться поиском по названиям таких лекарств, как «Виагра» или «Циалис» (препараты, которые чаще всего подделывают и продают партнерские сети типа «Главмеда»), в результатах поиска появятся ссылки на веб-сайт therxdrugs.net. Сайт зарегистирован на имя некоего Алексея Архипова, жителя рабочего поселка Шилово Рязанской области. Доменное имя зарегистрировано через китайского регистратора TodayNIC, а хостинг расположен в Германии.

Данный сайт носит название «Канадской аптеки», однако ничего общего ни с Канадой, ни с аптекой не имеет. Это онлайн-магазин, входящий в партнерскую программу «Главмед», управляемую из России, и, согласно ряду публикаций, принадлежащую москвичу Игорю Гусеву. На сайте therxdrugs.net пользователям предлагается заказать по сниженной цене препараты «Виагра» и «Циалис», которые мошенническим образом подменяются подделками.

Деятельность «Главмеда», крупнейшей в мире партнерской фармсети и крупнейшего в мире спаммера, регулярно освещается организациями, которые борются с киберпреступлениями в интернете: KnujOn, Cyveillance и HostExploit.

Как отмечают представители LegitScript, хакеры, работающие на «Главмед», скрытно поменяли код сайта, так, чтобы он выдавал в результатах поиска именно страницы партнерской программы therxdrugs.net. На первый взгляд, непонятно, зачем хакерам потребовалось располагать свои страницы на правительственном сайте, да еще и скрывать их от глаз посетителей, которые чаще не пользуются поиском, а просматривают страницы, доступные через меню. Ответ кроется в принципах работы поисковой системы Google, которая присваивает особо высокий рейтинг надежности именно сайтам зоны GOV или тем сайтам, на которые они ссылаются. Выходит, что хакеры попросту скрытно повышали поисковой рейтинг своих ресурсов с понятной целью — увеличить продажи поддельных лекарств.

Эксперты LegitScript называют сразу несколько причин для беспокойства для американских властей. Во-первых, заключают они, если может быть взломан один правительственный сайт, то очевидно, что атаке могут быть подвергнуты или уже подвергаться и другие. Во-вторых, «Главмед», это не маленький сайт, которым владеет один торговец, это крупнейшая в мире мошенническая сеть по продаже поддельных лекарств через интернет, которая также ответственна за распространение значительного количества спама в мировом интернете. В-третьих, если российская преступная группа может закачать на американский правительственный сайт информацию, то скорее всего, она может, и скачать ее оттуда.

Еще одной причиной для беспокойства, по мнению специалистов LegitScript, является тот факт, что сайт therxdrugs.net размещен на одном и том же хостинге с китайским сайтом googbot.cn. Googbot — червь, который, по заключению экспертов компании Symantec, делает компьютер уязвимым для последующих атак, например, для включения компьютера в бот-сеть.