История охоты за самым разыскиваемым хакером России
WWWHAK
ФБР против Славика
30 декабря 2016 года президент США Барак Обама ввёл санкции против ФСБ, ГРУ, нескольких технологичных компаний и двух хакеров, среди которых был и Евгений Богачёв.
Сейчас мужчина скрывается, и о его деятельности ничего не известно, но ещё несколько лет назад ФБР и лучшие IT-специалисты по кибербезопасности разыскивали этого человека по всему миру.
Становление "Зевса"
Весной 2009 года специальный агент ФБР Джеймс Крейг (James Craig) приехал в бюро в Омахе, штате Небраска. Он был бывшим морпехом и зарекомендовал себя как хороший IT-специалист, поэтому его назначили следователем по делу о крупной краже средств через интернет. В мае 2009 года у дочерней организации американской компании First Data украли 450 тысяч долларов. Чуть позже у клиентов первого национального банка Омахи украли 100 тысяч долларов.
Крейга смутило, что в обоих случаях кражи провели с IP-адресов самих жертв при помощи их логинов и паролей. После проверки компьютеров агент ФБР обнаружил, что оба устройства заражены одним вирусом — трояном «Зевс».
С помощью специалистов по кибербезопасности Крейг выяснил, что этот вирус впервые появился в 2006 году. Однако существуют версии, что впервые ботнет разошелся в 2007 году. Так или иначе, Zeus приобрёл огромную популярность у хакеров, а эксперты по безопасности описывали «Зевса» как удобный, эффективный и универсальный технологический шедевр. Крейг попытался найти автора вируса, однако узнал лишь никнеймы хакера: Slavik и lucky12345
Продолжив расследование, Крейг изучил принцип работы «Зевса». Он заражал компьютер через поддельные электронные письма и фальшивые интернет-уведомления, которые при нажатии обманом загружали в систему заражённый файл. Как только «Зевс» попадал в компьютер, он крал логины, пароли и PIN-коды пользователя на сайтах, используя кейлоггер, то есть записывая нажатия клавиш. Вирус мог даже менять формы входа в систему, получая доступ к ответам на тайные вопросы вроде девичьей фамилии матери или номера страхования. После этого компьютер мог незаметно для пользователя рассылать спам, распространяя вирус дальше.
Когда вы входите на, казалось, защищённый сайт, «Зевс» скрытно модифицирует страницу до её загрузки, узнает данные вашей учётной записи и выкачивает деньги со счёта.
До начала расследования Крейга Slavik часто появлялся на хакерских форумах и продвигал свой вирус. Однако в 2010 году он объявил об «уходе» и напоследок показал расширенную версию «Зевса» с возможностью привязать программу к своему владельцу. За копию программы Slavik просил 10 тысяч долларов. Такие затраты могли себе позволить не все хакеры, но и автор «Зевса» больше не хотел мыслить мелко — у него были большие планы.
Ещё летом 2009 года вместе с доверенными хакерами Slavik создал группировку элитных киберпреступников. Для оперативного общения он разработал модернизированную версию «Зевса» со встроенным мессенджером Jabber Zeus. Благодаря этому команда могла скрытно и оперативно общаться и координировать взломы банковских счетов. Новая тактика Slavikа предполагала, что главный упор будет сделан на кражу личных данных у бухгалтеров и менеджеров крупных компаний, имеющих доступ к финансовым системам.
Параллельно с этим Крейг проводил расследование, но, как он позже признался журналисту Wired, даже не подозревал о масштабах угрозы. И только когда десятки американских банков начали жаловаться на электронные кражи годичной выручки агент ФБР понял, что столкнулся с профессиональной хакерской группировкой.
Расследование спецслужб
В сентябре 2009 года Крейг вместе с несколькими IT-специалистами обнаружил в Нью-Йорке сервер, связанный с системой Jabber Zeus. Агент ФБР добился ордера на обыск и перезаписал трафик сервера на жёсткий диск. Когда инженер федеральной службы увидел содержимое данных, он на несколько минут потерял дар речи. Оказалось, что Крейг заполучил хакерскую переписку по мессенджеру Jabber с адресами из России и Украины.
Следующие несколько месяцев инженер американской компании по кибербезопасности Mandiant и сотрудники ФБР расшифровывали переписку. Процесс затруднился из-за хакерского сленга, который пришлось анализировать американским лингвистам.
В расшифрованных данных хакеры обсуждали взломанные компании, и благодаря этому Крейг обзвонил руководство организаций. Он сообщил, что их деньги пропали из-за опасного компьютерного вируса. К этому моменту бухгалтеров нескольких фирм уже уволили по подозрению в кражах.
Однако успешная расшифровка данных слабо продвинула дальнейшее расследование. Только под конец 2009 года Крейг выяснил, как хакерская группировка умудряется скрытно переводить огромные суммы денег.
Всё началось с рассказа трёх уроженок Казахстана сотрудникам ФБР. Они якобы приехали в Нью-Йорк в поисках работы, и однажды неизвестный предложил им поучаствовать в странной схеме. Их привозили на машине к банку, после чего женщины открывали там счёт и сообщали сотрудникам, что приехали в страну на лето по учёбе.
Несколько дней спустя мужчина привозил женщин, и они снимали деньги, поступившие на счёт. За эту работу им платили небольшой процент, а остальное передавали рекрутеру. Когда об этой истории узнал Крейг, он понял — женщин использовали как «денежных мулов». Их работа заключается в передаче денег хакерской группировке Slavik. Вскоре ФБР выяснили, что схема «мулов» работала в США, Румынии, Чехии, Великобритании, Украине и России.
По официальным подсчётам, к 2010 году хакеры украли от 70 до 80 миллионов долларов. Однако некоторые специалисты ФБР считают, что настоящая сумма гораздо больше.
Когда спецслужбы США попросили банки сообщать о людях, которые напоминают таких «мулов», агентам ФБР вскоре пришлось общаться с десятками людей. В основном это были студенты и иммигранты, снимающие со счетов по девять тысяч долларов, чтобы не привлекать внимания.
Летом 2010 года сотрудники службы арестовали двух уроженцев Молдавии, предлагающих работу «мулом». Параллельно с этим ФБР совместно с Минюстом определил, что трое лидеров хакерской группировки Slavik скрываются на Украине в Донецке.
Осенью 2010 года ФБР договорилось с украинской службой безопасности (СБУ) о совместном рейде к одному из лидеров хакеров Ивану Клепикову. Когда спецагенты пришли в квартиру в старом советском доме и начали обыск, хакер спокойно наблюдал за процессом. На кухне его жена держала на руках ребёнка и смеялась вместе с агентами СБУ. Крейг забрал больше 20 терабайтов информации с десятков жёстких дисков Клепикова и вернулся в США.
Параллельно с этим агенты арестовали 39 рекрутеров «мулов» в четырёх странах. Этого хватило, чтобы нарушить хакерскую систему отмывания денег. Однако Крейг разочаровался — ФБР нисколько не приблизились к поимке руководителя группировки Slavik. Спецслужбы знали наверняка только одно: у него есть жена. После рейда спецслужб на Украине лидер хакеров и автор Jabber Zeus исчез, и Крейга перевели на другое расследование.
Новый вирус и провальная атака
В 2011 году небольшое сообщество по кибербезопаности заметило новую разновидность «Зевса» с модернизированной системой бот-нета. В первоначальных версиях вируса заражённые компьютеры управлялись через один командный центр, что делало всю систему уязвимой. Ведь если спецслужбы обнаружат этот сервис, они смогут одним ударом отключить всю систему.
В новой версии «Зевса», ставшей известной как GameOver Zeus, заражённые компьютеры постоянно хранили и обновляли список других инфицированных. Это делалось на тот случай, если вирус на устройстве зафиксирует попытку перехватить его связь с командным центром. В такой момент заражённый компьютер мог переключиться на другой командный сервис и сбить с толку спецслужбы.
Интересные и познавательные статьи публикуем в WWWHAK.
Статьи предоставлены целях ознакомления.