Pavel Vrublevsky (32) ist Mitgründer von ChronoPay, dem größten Online-Zahldienstes Russlands. Dem Unternehmen wird nachgesagt, die Zahlungen für Scareware-Abzocker abzuwickeln und auch hinter Rx-Promotion zu stehen, einer halbseidenen Online-Apotheke. Vor Rx-Promotion warnt unter anderem die amerikanische Gesundheitsbehörde FDA. Russische Behörden haben Vrublevsky vergangene Woche verhaftet, wie der US-Journalist Brian Krebs in seinem Blog schreibt.

Grund für die Verhaftung sind aber nicht die unter anderem durch Krebs hergestellten Zusammenhänge zwischen ChronoPay und den Scareware-Machern oder die krummen Pharma-Geschäfte. Dem Russen wird vielmehr vorgeworfen, die Webserver eines seiner Konkurrenten während der Ausschreibung für einen lukrativen Deal im Sommer 2010 durch eine von Vrublevsky beauftrage DDoS-Attacke aus dem Netz geschossen zu haben.

Die Information über die gekaufte Attacke stammt laut Blogbeitrag von Igor Artimovich – in Hacker-Kreisen unter dem Pseudonym "Engel" bekannt. Er will es gewesen sein, der mit den 10.000 von ihm kontrollierten Botnet-PCs die DDoS-Attacke auf die Seiten von Assist gestartet hat. Assist ist ebenfalls ein russischer ePayment-Dienst und war zu der Zeit ChronoPays größter Konkurrent bei einer Ausschreibung für den neuen Zahlungsabwickler für Aeroflot, Russlands größte Fluglinie.

Der Angriff legte Assist nur Wochen vor Aeroflots Entscheidung effektiv lahm, das Unternehmen konnte für einen gewissen Zeitraum keine Online-Zahlungsbearbeitung abwickeln. Grund genug für Aeroflot, sich gegen Assist und für einen anderen Dienstleister zu entscheiden.

Das Botnetz von Artimovich soll laut dem russischen Sicherheitsunternehmen Group-IB auch zum Angriff auf dubiose Online-Apotheken wie Glavmed genutzt worden sein, die mit Rx-Promotion in Konkurrenz stehen. Diese Attacken wurden auch von SecureWorks verzeichnet. Das Affiliate-Programm Glavmed wiederum gehört zu Igor Gusev, 2003 Mitgründer von ChronoPay und heutiger Intimfeind von Vrublevsky. Rx-Promotion verkauft verschreibungspflichtige, indizierte oder süchtig machende Medikamente online. Natürlich ohne Rezept oder Garantie, einwandfreie Medikamente anzubieten.

Es ist ein wenig überraschend, dass Vrublevsky über die angebliche DDoS-Attacke stolperte, nicht aber über seine schon länger nachweisbaren Machenschaften. Eventuell nahm sich der russische Geheimdienst FSB der Sache so schnell an, weil Aeroflot mehrheitlich dem russischen Staat gehört und er somit direkt von der Attacke betroffen war. Denn Assist wickelte zur Zeit der Ausschreibung noch die Zahlungsdienstleistung für die Fluglinie ab. Die Serverauszeit dürfte etliche Transaktionen verhindert und die Airline somit Geld gekostet haben.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.