Właściciele firm internetowych, które zarabiały na cyberprzestępstwach polegających na wykorzystywaniu przejętych systemów komputerowych zostali ujęci w swoim ojczystym kraju – Estonii. Jest to zakończenie jednego z największych śledztw dotyczących przestępców komputerowych od wielu lat. Szacuje się, iż ludzie Ci odpowiadają za zainfekowanie ponad 4 milionów komputerów w ponad 100 krajach

Akcja nazwana jako “Operation Ghost Click” była wielostopniowym i wieloetapowym, skomplikowanym poszukiwaniem zakrojonym na olbrzymią skalę.

Zostało aresztowanych sześciu ludzi: Vladimir Tsastsin (31), Timur Gerassimenko (31), Dmitri Jegorov (33), Valeri Aleksejev (31), Konstantin Poltev (28), Anton Ivanvov (26). Siódmy oskarżony Andrey Taame (31) wciąż jest na wolności. W dużym uproszczeniu oskarżeni doprowadzali do sytuacji, w której za pomocą złośliwego oprogramowania (DNS Changer) zarabiali na wyświetlaniu fałszywych reklam na zainfekowanych maszynach. Szacuje się, iż zarobili w ten sposób ponad 14 milionów dolarów.

Infekcje często odbywały się poprzez strony przypominające serwisy wideo, na których użytkownik był informowany o braku odpowiednich sterowników wideo i potrzebie instalacji dodatkowych codeków. Tym samym łatwowierni użytkownicy sami instalowali trojany w swoich systemach. Co ciekawe, zaawansowana złośliwa aplikacja znana była także z infekcji komputerów firmy Apple.

Śledztwo trwało od roku 2009 kiedy zostały przeanalizowany dane z dysków twardych serwerów zarządzających (C&C) sieciami botnet. Na dysku zostały znalezione klucze aplikacji SSH należące do firmy Rove Digital. Firma ta rozpowszechniała także fałszywe oprogramowanie antywirusowe. Lata 2010 i 2011 to obserwacje ruchów cyberprzestępców i zdobywanie nowych informacji na temat ich działania.

Organizacja wykorzystywała ponad 100 serwerów do zarządzania fałszywymi reklamami. Jako ciekawostkę warto podać, że 100 komputerów w NASA było zarażonych tym trojanem. Co ciekawe przestępcy tak na prawdę nie wykradali prywatnych informacji z komputerów co utrudniało podjęcie działań przeciwko nim. Zmieniali jedynie wyświetlane reklamy i z tego procederu czerpali olbrzymie zyski.

Aktualnie następuje druga faza akcji czyli pomoc w oczyszczaniu sieci z zainfekowanych systemów oraz fałszywych serwerów DNS.