Cloned Boy
Professional
- Messages
- 1,177
- Reaction score
- 893
- Points
- 113
История о том, как все спецслужбы мира гонялись за одним русским хакером, но так и не смогли его поймать.
Сегодня миллиарды долларов перемещаются в считанные секунды. Нужно лишь открыть приложение или перейти на веб-сайт и нажать пару клавиш. Той же простотой пользуются и кибер-преступники. И это история об одном из самых мощных троянцев для онлайн-банкинга и тех, кто за ним стоит. Он вырос, чтобы украсть более 70 миллионов долларов. Причем так, что это даже не было похоже на преступление. Гениальный кодер и хакер – это история о том, как скрытность, настойчивость и коварность породили самого опасного преступника на планете.
Действительно ли программисты в будущем станут богами? Как всё развивалось, банковские трояны, локеры, хакерские бизнес-клубы и миллионы долларов? Вы на канале Python Today и перед тем как мы начнём, хотел попросить вас поддержать видео, поставить лайк и по возможности оставить комментарий. Спасибо огромное за поддержку!
Перенесёмся в 2006 год. К этому моменту онлайн-банкинг существовал около 10 лет. Банковское мошенничество не было чем-то новым, но с каждым годом становилось всё более изощрённым, благодаря развитию технологий. Ведь банковские аккаунты людей стали доступны из любой точки мира. Тем временем, поздним вечером за всем происходящим наблюдал молодой парень из России. Ему было чуть больше 20, но пусть вас не обманывает его возраст.
В свои 22 его расчётливости позавидовали бы матёрые вояки. Скрупулёзный планировщик и просто фантастический кодер был очень заинтересован в том, как автоматизировать бесконечный поток возможностей для кражи денег. В интернете и на подпольных форумах он пользовался разными именами, но в конце концов остановился на одном — Славик. 11 октября 2006 года на сайте Tech Support Guide появилось новое сообщение на форуме.
Сайт существовал с 1996 года и был одним из первых техно-сообществ, где люди обращались друг к другу с вопросами, эдакий стэк-аверфлоу того времени. В одной из веток форума пользователь обратился за помощью. Он нашёл какой-то странный код на компьютере Windows своей сестры и не мог его идентифицировать. Разместил его образец и спросил, не может ли кто-нибудь помочь разобраться, что это такое. Код отличался от тех, что он когда-либо видел.
Люди также не могли его распознать. К обсуждениям подключились исследователи безопасности и заявили, что код вредоносный, да, в программе имя WSEN.M в честь одной из директорий вируса. Итак, вирус, как они обнаружили, не детектился ничем, тихо проникал на компьютеры людей и шерстил по системе, прочёсывая файлы и браузер. Главной целью были имена пользователей и пароли от банковских аккаунтов. Вирус выделялся небывалой скоростью распространения.
Ежедневно проникал на сотни устройств, собирая учётные данные и отправляя хакеру тысячи строк-логов. Вскоре деньги начали пропадать с банковских счетов по всему миру. В то время ходили слухи, что WSN написала российская хакерская группа Uplevel. Именно она стоит за кражами, но фактов не было, никто не знал наверняка. Это была точка отчёта. После всё начало развиваться довольно быстро. Восемь месяцев спустя, в июне 2007 года, компания Security Works заявила о более серьёзной находке.
Исследователи обнаружили новую версию банковской вредоносной программы Продвинутую и эффективную версию WSN. И назвали её PRG. Кто бы ни стоял за атаками, он тоже не терял времени даром Троян активно развивался В августе команде Security Works удалось обнаружить огромную базу украденных данных На одном из проходящих по расследованию серверов Исследователи отследили связь до троянца PRG.
Тысячи банковских реквизитов, данные карт, номера социального страхования имена пользователей и пароли. Компания посчитала, что данные были украдены не менее, чем у 50 тысяч жертв и теперь продавались на хакерских форумах. К декабрю 2007 года хакеры, внедрившие троян, похитили более 200 тысяч долларов со счетов коммерческих банков в США, Великобритании, Италии и Испании. Хакеры рассылали вредоносное ПО по электронной почте.
После установки вирус собирал все учетные данные, хранящиеся на компьютере. Затем вредоносная программа переходила в режим ожидания и ждала пока пользователи войдут в банковские аккаунты. Как только это происходило, вируса повещал хакеров, которые затем подключались к сессии, проникали на компьютер пользователя и переводили деньги с его счетов на свои. Современный эквивалент грабежа при свете дня, только совершался он в тени, буквально невидимыми грабителями.
Безнаказанность и первые победы зажгли глаза, если они смогут немного усовершенствовать вредоносное ПО и расширить его масштабы, то смогут украсть таким образом миллионы долларов. Прошло еще полгода, и компания Security Works обнаружила новые версии вредоносных программ. Троянец развивался и расширял функционал. Произошло еще одно изменение. Теперь он назывался ZBot, сокращенно от ZeusBot. Эта версия представляла куда более серьезную угрозу.
Теперь ZBot не только крал конфиденциальные учетные данные, но и грабил банковские счета пользователей автоматически. Хакерам и этого было мало. Затем заражённая машина присоединялась к ботнету — гигантской сети, управляемой хакерами машин. Впоследствии ботнет использовался для DDoS-атак и привлечения трафика, дополнительно зарабатывая десятки тысяч долларов. Тем временем исследователи отбросили идеи о группировке хакеров и были уверены, что за ZBot стоит тот же человек, который создал троянцев PRG и WSN.
Автором был молодой россиянин с никнеймом Славик. К 2008 году Z-Bot стал известен под именем Зевс. Все мы слышали о Зевсе – царь греческих богов, бог грома и молний, единогласный правитель. Возможно, именно поэтому Славик назвал его так. Ему нравилась идея, что есть один ботнет, который управляет всеми.
Название действительно кажется подходящим, так как Зевс в конечном итоге стал королем всех банковских троянов. Славик был не только хорошим кодером, но и разбирался в бизнесе. Он хотел получить больше дохода от своей программы. Постоянно обновлял, развивал и регулярно добавлял новые функции в ZEUS. Славик использовал его для ограбления людей, но также внедрил в ZEUS некий набор инструментов для хакеров.
Сделай сам, чтобы они могли создавать свою собственную версию программы. Функционал продавался хакерам за подписку и процент. Присутствовала и постоянная техническая поддержка. Итак, появился Zeus простым в использовании и не требующим никаких технических знаний дружелюбным интерфейсом для распространения и управления оператором. Теперь каждый, кто умел включать компьютер, мог настроить Зевса под себя и начать зарабатывать.
Это была революция в преступном мире. Короли банковского фишинга, такие группировки как Rockfish и Avalanche быстро взяли топовый инструмент на вооружение. Количество жертв прирастало десятками тысяч. Известно, что Avalanche также использовал довольно крупный в то время ботнет CutWale. Ботнет вместе со своим загрузчиком PushDov в конечном итоге интегрировал в себя ZEVS, а ZEVS интегрировал в себя CutWale. Эта комбинация сделала заражение ещё более разрушительным.
Теперь Zeus использовал для распространения готовые ботнеты. Тысячи компьютеров ожидали инструкций, осталось лишь нажать на пару кнопок. Фишкой ZEVS была атака типа человек в браузере. Когда пользователь заходил на страницу банка, ZEVS перехватывал запрос и подменял HTML-разметку. В итоге ничего не подозревающий пользователь всё равно получает ожидаемый им веб-сайт, вот только теперь на странице появляются новые поля, в которых запрашиваются дополнительные данные, такие как пин-код или номер социального страхования.
Пользователь даже не подозревает, что кто-то пытается украсть его данные, ведь всё идеально, домен, сертификаты — ничего не вызывает подозрения. «Славик улучшал, полировал и совершенствовал своё детище каждый день. Он был в ударе, талантливый, амбициозный и даже жадный не только до денег, но и до вершины Олимпа. Этот парень знал, чего он хочет, и упорно добивался цели. Зевс был лучшим в истории вирусом».
К маю 2009 года ФБР начало получать сообщения о крупных банковских переводах, которые были отправлены мошенническим путём, но, казалось бы, не имели никаких признаков нарушения безопасности. В мае 2009 года несколько клиентов Национального банка «Амахи» сообщили, что с их банковских счетов были похищены сотни тысяч долларов, они попросту исчезли. Агенты ФБР изучали, кто заходил на сайты, возможно из-за рубежа или с подозрительного IP-адреса, но украденные деньги переводились клиентам с IP-адреса своего же дома, из его же браузера.
Переводы шли на счета за границей, агенты начали подозревать самих клиентов банка в мошенничестве. Те лгали, что деньги были украдены, надеясь получить страховку. Ведь банк видел, кто переводит деньги, но как вор мог находиться дома и делать переводы без ведома хозяина.
Странным было и то, что для банковских счетов была предусмотрена масса дополнительных уровней безопасности, прежде чем пользователь мог попасть в онлайн-банк для совершения каких-либо операций. Кроме имени пользователя и паролей есть секретный вопрос или пин-код. Банк также регистрирует метаданные своих клиентов. Например в какое время они обычно входят в систему, с какого IP-адреса, какой браузера они обычно используют, любые цифровые отпечатки.
Таким образом, если попытка входа происходит с нетипичного браузера или IP-адреса, который они привыкли видеть, это вызывало дополнительную проверку безопасности и вход блокировался до подтверждения личности. Но вопрос оставался открытым. Хакеры проникали в тысячи аккаунтов и беспрепятственно переводили деньги, ведь это были обычные операции от пользователей. ФБР было озадачено не на шутку. Несколько недель спустя американская разведывательная компания iDefense сделала открытие, которое перевернуло всё с ног на голову.
1 июня они обнаружили совершенно новую версию Zeus, сказалось бы, невозможными на тот момент технологиями. Сказать, что Славик превзошёл себя, было бы преуменьшением. В течение последних нескольких лет Славик использовал множество различных имён в интернете. AZ, Monster, Lucky12345, PolingSoon, прежде чем остановился на Slavik.
Взял на себя авторство и часто говорил о своём детище Zeus. Гениальный хакер на тот момент уже заработал кучу денег на продажи подписок Зевса. Ноу-хау в киберпреступном мире приносило огромные деньги. Только представьте, в среднем 3000 долларов за каждый комплект. По самым скромным подсчётам, к весне 2009 года Зевс использовали более 5000 уникальных клиентов. Славик прекрасно умел считать и чувствовал, что его обворовывают.
Нечестные на руку хакеры, да и попросту нубы пытались перепродать свои копии Зевса. Кто-то даже пытался выпускать собственные адаптированные версии, используя имя, которое было хорошо известно и уважаемо, благодаря совершенному коду и постоянным обновлениям оригинальной версии. Они наживались на его работе. Была и другая проблема. Банки не спали и совершенствовали свою защиту. Появилось больше видов двухфакторной аутентификации, больше уровней, через которые нужно было пробиваться.
Итак, в начале 2009 года Slavik объединился с командой Avalanche, которая все еще доминировала на рынке банковского фишинга, и написал обновленную версию Zeus под названием Jabber Zeus. В дополнение к уже имеющимся модулям кражи учетных данных и создания собственного ботнета, был добавлен модуль захвата форм для Firefox, подписка на который стоила 2000 долларов. Также появился модуль BackConnect, который стоил 1500 долларов и позволял хакеру перенаправлять любые отслеживания переводов с банковских счетов обратно на сам зараженный компьютер.
Таким образом переводы всегда возвращались на компьютер пользователя, а не на компьютер хакера. Большим дополнительным модулем был JabberChat, за него нужно было заплатить сверху еще 500 баксов. Дополнение включала джаббер. С включённым модулем Zeus был запрограммирован на отправку мгновенного сообщения в режиме реального времени хакерам всякий раз, когда пользователь входил на банковский счёт, баланс которого превышал определённую сумму.
Это ещё больше упрощало задачу для операторов Zeus. Представьте себе уровень — вы лишь получаете мгновенное сообщение «Эй, чувак, я только что нашёл банковский счёт со 100 тысячами долларов на нём. Вот имя пользователя и пароль». В чат приходили учётные данные для входа в систему, данные банковского счёта, баланс, код двухфакторной аутентификации, на какие резервные вопросы были даны ответы.
Хакеры фиксировали абсолютно всё и без труда заходили на компьютер, чтобы провести несколько транзакций. Пользователь компьютера просто не знал, что на его машине в фоновом режиме осуществляются переводы с банковского счёта. Для Зевса был доступен ещё один модуль — виртуальный сетевой компьютер. За 10 тысяч долларов он позволял хакерам на 100% контролировать заражённую машину с помощью активного виртуального соединения.
Это означало, что они могли туннелировать весь свой трафик через компьютер-пользователя, чтобы скрыть следы. Таким образом, банк думает, что пользователь вошёл в систему из дома, а не из России или любой другой страны. Полная автоматизация процесса. С разработкой Джаббер Зевса Славик нанял небольшую команду талантливых хакеров, которые помогали ему красть деньги из банков. Людей, которых он знал и отбирал лично, они начали фокусироваться на корпоративных счетах, на которых лежали от нескольких сотен тысяч до миллионов долларов.
Но оставалась главная проблема – вывод денег. Ответ был достаточно прост – дропы или денежные мулы. Хакерам, стоящим за Зевсом, нужно было найти людей, готовых выступать в роли посредников. За 5% от суммы дропы получали деньги на свой счет. Затем выписывали чек на сумму чуть меньше, полученной на счет хакеров или другого подставного дропа.
В день рядовой дроп мог зарабатывать от нескольких тысяч до десятков или сотен тысяч долларов. Итак, как только появилась новая версия Зевса, начался просто шквал атак с его использованием. Славик по-прежнему продавал версию Джаббер Зевса в комплекте, но ему надоело, что люди копируют его код и выпускают различные версии. Поэтому он решил написать систему идентификации и стал избирательно относиться к продаже. Теперь, когда люди платили за копию, она работала только на одной машине.
По сути, это была лицензия. Команда Джаббер Зевса была в ударе. В течение последующих месяцев они нападали на банки, малые предприятия, везде, где находили хорошие деньги, лежащие на банковских счетах в интернете. ФБР расследовало всё больше и больше подобных атак. Они начали распознавать признаки Джаббер Зевса. ФБР удалось отследить домен сервера Джаббер, который использовался для отправки мгновенных сообщений Зевсам. IP-адрес привел их к серверу компании EasyNet, который находился в Бруклине, штат Нью-Йорк.
Поскольку компания базировалась в США, ФБР смогли выдать ордер на обыск и ознакомиться с дополнительной информацией о клиенте, который платил за этот сервер. Сервер был зарегистрирован на некоего Алексея С. Из компании, расположенной в Москве. В штабе ФБР начали изучать содержимое сервера. Там были журналы и записи каждой атаки, банковские данные, учётные данные пользователей, названия банков и предприятий, которые стали неудачными жертвами.
Но, к огромному удивлению агентов, там также были полные логи-чатов между членами хакерской команды на русском языке, что вызвало длительный процесс перевода. Но ФБР понимало, что получило золотую жилу доказательств. Также был составлен список жертв, к которым ФБР теперь могло обратиться и сообщить им, что их аккаунты были взломаны. К этому времени Славик использовал Зевса для заработка денег тремя различными способами.
Для кражи денег из банков, затем он сдавал ботнет в аренду людям, которые использовали его по своему желанию, и продавал вредоносное ПО Зевс за подписку более чем в 10 тысяч долларов. Эта деятельность приносила ему огромные деньги. Тем не менее, он не собирался останавливаться и добавил ещё больше новых функций и выпустил ZEVS версии 2, который позволял пользователям отслеживать сетевой трафик, делать скриншоты, записывать нажатия клавиш, красть сертификаты и подключаться к другим банковским системам.
В 2011 году в сеть просочился весь исходный код Zeus, это означало, что теперь любой мог разработать свою собственную версию Zeus и сделать ещё больше вредоносных программ. К этому моменту Славик пропал. Для всего мира Славик, казалось бы, исчез. На самом же деле он работал над новой версией Зевса. В 2011 году вышла третья версия.
И это была первая вредоносная программа для онлайн-банкинга, которая предлагалась как услуга. Эта версия получила название Game Over Zeus. Game Over Zeus был самой эффективной и успешной версией Зевса. В сентябре 2012 года с её помощью кто-то украл полмиллиона долларов у одной компании и отправил деньги на счета в Китае. В сентябре того же года геймовер был использован, чтобы украсть 2 миллиона долларов у американской типографии.
Никто не знает, кто стоял за этими кражами до сих пор. Модель подписки, которую создал Славик, позволяла использовать его программу любому, кто умеет пользоваться мышкой. Весной 2012 года компания Microsoft объявила об изъятии более 800 доменов, которые использовались батнетами SpyEye и Zeus. Ещё несколько исследователей безопасности присоединились к команде Microsoft и попытались уничтожить ботнет.
Ботнет Zeus должен был получать инструкции от центрального сервера, и если его уничтожить, то вся ботнет-сеть стала бы уязвимой. Геймовер Zeus был спроектирован с впечатляющей устойчивостью. Он просто переключался на новый набор доменов и центральный сервер. К лету 2012 года у ФБР было достаточно доказательств того, кто управлял Zeus. Они вынесли обвинительное заключение в отношении десяти человек, причастных к работе вредоносной программы, но не подавали никакого виду, чтобы не дать преступникам понять, что их раскусили и держали обвинительное заключение в секрете.
Среди обвиненных был и Славик. ФБР проникло в сеть Zeus и собрало достаточно доказательств, чтобы предъявить ему обвинение. Однако они не знали его настоящего имени до сих пор и попросту предъявили обвинение одному из его никнеймов – Лаки12345. Тем временем Славик находился в России, которая была надёжно защищена от длинной руки американского закона.
В ноябре 2012 года кто-то использовал геймовер Zeus и украл более 7 миллионов долларов у банка. Этого было недостаточно, и хакеры решили провести DDoS-атаку на банк в течение следующих нескольких дней, в результате чего функционал банка страдал от перебоев в работе сети. ФБР было в ярости от наглости. Ограбление на сумму 7 миллионов долларов было самым крупным, совершённым с помощью вредоносной программы ZEVS.
Кто стоял за этой атакой, также остаётся загадкой до сих пор. В 2013 году была предпринята ещё одна попытка уничтожить ботнет. На этот раз исследователями из компании CrowdStrike, специализирующимися на безопасности. Они попытались скоординировать широкомасштабную атаку на сеть. В этот раз Славик оказался на другой стороне, и изо всех сил старался сохранить контроль над ботнетом. И не прекращать работу. Он знал, что такие попытки взлома будут предприниматься, и всегда был на шаг впереди, защищая своё творение.
Устойчивость была просто поразительной, бизнес нужно было расширять. Славик назвал свою команду «Бизнес-клуб», состоящий из шести человек. У каждого из них была своя специализация, одни были хороши в техподдержке, другие в создании вредоносных программ, третьи — в вербовке дропов. Аппетиты было не утолить. Сидя за круглым столом, бизнес-клуб думала о том, как ботнет ZEVS может заработать еще большие деньги.
И тут всех осенило. Вымогатели. В октябре 2013 года они решили добавить в набор ZEVS программу CryptoLocker. Теперь ZEVS, как и раньше, может заражать компьютеры, красть пароли и ждать пока пользователь войдет в банковский аккаунт. Но теперь он еще и может зашифровать систему и потребовать выкуп за расшифровку. Фаталити. Расчет был точен, хакеры обозначили стоимость расшифровки от 500 до 1000 долларов.
Жертвы исправно платили. Публичная демонстрация состоялась в ноябре 2013 года. Полицейский департамент в Массачусетсе подвергся атаке Зевса, а затем и вымогательской программы Криптолокер. Хакеры потребовали всего 750 долларов за разблокировку всей системы, и полицейский департамент заплатил. Наглости не было предела. К маю 2014 года ФБР выяснило настоящую личность Славика – Евгений Богачёв.
Ему было около 20 лет, он жил в Анапе, ФБР предъявило ему обвинение под настоящим именем, обвиняя в банковском мошенничестве и отмывании денег. В 2014-2015 годах Министерство юстиции США потратило огромное количество средств времени, пытаясь уничтожить ботнет Зевс. Атака началась с раннего утра пятницы и продолжалась в течение всех выходных.
ФБР и зарубежные правоохранительные органы ввели скоординированную захват компьютерных серверов по всему миру, которые были основой как гейм-оверзевса, так и криптолокера. Изъятия были произведены в Канаде, Франции, Германии, Люксембурге, Нидерландах, Украине и Великобритании. Действия спецслужб привели к серьезному нарушению работы ботнета, но не уничтожили его. Евгению Богачеву, гражданину России, были предъявлены обвинения в Питтсбурге, штат Пенсильвания за его роль администратора батнета Game Over Zeus.
Богачёв – настоящий преступник 21 века, совершающий киберпреступления по всему миру одним нажатием клавиши и щелчком мыши. Эти обвинения позволили Богачёву занять место в списке самых разыскиваемых киберпреступников мира. Его лицо прямо здесь, на большом плакате ФБР с идентификационными данными, такими как день рождения, цвет глаз, вес и псевдонимы.
Награда в 3 миллиона долларов – это самая большая награда когда-либо предложенная ФБР за разыскиваемого хакера. ФБР включила его в список в 2015 году, но Славик до сих пор не пойман. Предположительно, он всё ещё находится в России. ФБР пыталась сотрудничать с Россией и отправляла запросы, чтобы добиться его задержания, но, несмотря на все усилия, им не удалось привлечь его к ответственности.
По оценкам, Зевс заразил от 500 тысяч до нескольких миллионов компьютеров по всему миру. От мошеннических банковских переводов только Америка потеряла более 100 миллионов долларов, плюс 27 миллионов, которые хакеры собрали в результате платежей за разблокировку систем. Зевс навсегда останется в истории как одна из самых сложных и прибыльных программ для ограбления банков, которая атаковала не сам банк, а клиентов, похищая деньги со счетов пользователей без шума и пыли.
Что касается Славика, никто не знает, где он сейчас. Возможно, просто красиво ушёл в закат. Если вам интересны подобные темы обязательно поддержите лайком и комментарием, ведь именно так я понимаю что вам интересен контент.
Сегодня миллиарды долларов перемещаются в считанные секунды. Нужно лишь открыть приложение или перейти на веб-сайт и нажать пару клавиш. Той же простотой пользуются и кибер-преступники. И это история об одном из самых мощных троянцев для онлайн-банкинга и тех, кто за ним стоит. Он вырос, чтобы украсть более 70 миллионов долларов. Причем так, что это даже не было похоже на преступление. Гениальный кодер и хакер – это история о том, как скрытность, настойчивость и коварность породили самого опасного преступника на планете.
Действительно ли программисты в будущем станут богами? Как всё развивалось, банковские трояны, локеры, хакерские бизнес-клубы и миллионы долларов? Вы на канале Python Today и перед тем как мы начнём, хотел попросить вас поддержать видео, поставить лайк и по возможности оставить комментарий. Спасибо огромное за поддержку!
Перенесёмся в 2006 год. К этому моменту онлайн-банкинг существовал около 10 лет. Банковское мошенничество не было чем-то новым, но с каждым годом становилось всё более изощрённым, благодаря развитию технологий. Ведь банковские аккаунты людей стали доступны из любой точки мира. Тем временем, поздним вечером за всем происходящим наблюдал молодой парень из России. Ему было чуть больше 20, но пусть вас не обманывает его возраст.
В свои 22 его расчётливости позавидовали бы матёрые вояки. Скрупулёзный планировщик и просто фантастический кодер был очень заинтересован в том, как автоматизировать бесконечный поток возможностей для кражи денег. В интернете и на подпольных форумах он пользовался разными именами, но в конце концов остановился на одном — Славик. 11 октября 2006 года на сайте Tech Support Guide появилось новое сообщение на форуме.
Сайт существовал с 1996 года и был одним из первых техно-сообществ, где люди обращались друг к другу с вопросами, эдакий стэк-аверфлоу того времени. В одной из веток форума пользователь обратился за помощью. Он нашёл какой-то странный код на компьютере Windows своей сестры и не мог его идентифицировать. Разместил его образец и спросил, не может ли кто-нибудь помочь разобраться, что это такое. Код отличался от тех, что он когда-либо видел.
Люди также не могли его распознать. К обсуждениям подключились исследователи безопасности и заявили, что код вредоносный, да, в программе имя WSEN.M в честь одной из директорий вируса. Итак, вирус, как они обнаружили, не детектился ничем, тихо проникал на компьютеры людей и шерстил по системе, прочёсывая файлы и браузер. Главной целью были имена пользователей и пароли от банковских аккаунтов. Вирус выделялся небывалой скоростью распространения.
Ежедневно проникал на сотни устройств, собирая учётные данные и отправляя хакеру тысячи строк-логов. Вскоре деньги начали пропадать с банковских счетов по всему миру. В то время ходили слухи, что WSN написала российская хакерская группа Uplevel. Именно она стоит за кражами, но фактов не было, никто не знал наверняка. Это была точка отчёта. После всё начало развиваться довольно быстро. Восемь месяцев спустя, в июне 2007 года, компания Security Works заявила о более серьёзной находке.
Исследователи обнаружили новую версию банковской вредоносной программы Продвинутую и эффективную версию WSN. И назвали её PRG. Кто бы ни стоял за атаками, он тоже не терял времени даром Троян активно развивался В августе команде Security Works удалось обнаружить огромную базу украденных данных На одном из проходящих по расследованию серверов Исследователи отследили связь до троянца PRG.
Тысячи банковских реквизитов, данные карт, номера социального страхования имена пользователей и пароли. Компания посчитала, что данные были украдены не менее, чем у 50 тысяч жертв и теперь продавались на хакерских форумах. К декабрю 2007 года хакеры, внедрившие троян, похитили более 200 тысяч долларов со счетов коммерческих банков в США, Великобритании, Италии и Испании. Хакеры рассылали вредоносное ПО по электронной почте.
После установки вирус собирал все учетные данные, хранящиеся на компьютере. Затем вредоносная программа переходила в режим ожидания и ждала пока пользователи войдут в банковские аккаунты. Как только это происходило, вируса повещал хакеров, которые затем подключались к сессии, проникали на компьютер пользователя и переводили деньги с его счетов на свои. Современный эквивалент грабежа при свете дня, только совершался он в тени, буквально невидимыми грабителями.
Безнаказанность и первые победы зажгли глаза, если они смогут немного усовершенствовать вредоносное ПО и расширить его масштабы, то смогут украсть таким образом миллионы долларов. Прошло еще полгода, и компания Security Works обнаружила новые версии вредоносных программ. Троянец развивался и расширял функционал. Произошло еще одно изменение. Теперь он назывался ZBot, сокращенно от ZeusBot. Эта версия представляла куда более серьезную угрозу.
Теперь ZBot не только крал конфиденциальные учетные данные, но и грабил банковские счета пользователей автоматически. Хакерам и этого было мало. Затем заражённая машина присоединялась к ботнету — гигантской сети, управляемой хакерами машин. Впоследствии ботнет использовался для DDoS-атак и привлечения трафика, дополнительно зарабатывая десятки тысяч долларов. Тем временем исследователи отбросили идеи о группировке хакеров и были уверены, что за ZBot стоит тот же человек, который создал троянцев PRG и WSN.
Автором был молодой россиянин с никнеймом Славик. К 2008 году Z-Bot стал известен под именем Зевс. Все мы слышали о Зевсе – царь греческих богов, бог грома и молний, единогласный правитель. Возможно, именно поэтому Славик назвал его так. Ему нравилась идея, что есть один ботнет, который управляет всеми.
Название действительно кажется подходящим, так как Зевс в конечном итоге стал королем всех банковских троянов. Славик был не только хорошим кодером, но и разбирался в бизнесе. Он хотел получить больше дохода от своей программы. Постоянно обновлял, развивал и регулярно добавлял новые функции в ZEUS. Славик использовал его для ограбления людей, но также внедрил в ZEUS некий набор инструментов для хакеров.
Сделай сам, чтобы они могли создавать свою собственную версию программы. Функционал продавался хакерам за подписку и процент. Присутствовала и постоянная техническая поддержка. Итак, появился Zeus простым в использовании и не требующим никаких технических знаний дружелюбным интерфейсом для распространения и управления оператором. Теперь каждый, кто умел включать компьютер, мог настроить Зевса под себя и начать зарабатывать.
Это была революция в преступном мире. Короли банковского фишинга, такие группировки как Rockfish и Avalanche быстро взяли топовый инструмент на вооружение. Количество жертв прирастало десятками тысяч. Известно, что Avalanche также использовал довольно крупный в то время ботнет CutWale. Ботнет вместе со своим загрузчиком PushDov в конечном итоге интегрировал в себя ZEVS, а ZEVS интегрировал в себя CutWale. Эта комбинация сделала заражение ещё более разрушительным.
Теперь Zeus использовал для распространения готовые ботнеты. Тысячи компьютеров ожидали инструкций, осталось лишь нажать на пару кнопок. Фишкой ZEVS была атака типа человек в браузере. Когда пользователь заходил на страницу банка, ZEVS перехватывал запрос и подменял HTML-разметку. В итоге ничего не подозревающий пользователь всё равно получает ожидаемый им веб-сайт, вот только теперь на странице появляются новые поля, в которых запрашиваются дополнительные данные, такие как пин-код или номер социального страхования.
Пользователь даже не подозревает, что кто-то пытается украсть его данные, ведь всё идеально, домен, сертификаты — ничего не вызывает подозрения. «Славик улучшал, полировал и совершенствовал своё детище каждый день. Он был в ударе, талантливый, амбициозный и даже жадный не только до денег, но и до вершины Олимпа. Этот парень знал, чего он хочет, и упорно добивался цели. Зевс был лучшим в истории вирусом».
К маю 2009 года ФБР начало получать сообщения о крупных банковских переводах, которые были отправлены мошенническим путём, но, казалось бы, не имели никаких признаков нарушения безопасности. В мае 2009 года несколько клиентов Национального банка «Амахи» сообщили, что с их банковских счетов были похищены сотни тысяч долларов, они попросту исчезли. Агенты ФБР изучали, кто заходил на сайты, возможно из-за рубежа или с подозрительного IP-адреса, но украденные деньги переводились клиентам с IP-адреса своего же дома, из его же браузера.
Переводы шли на счета за границей, агенты начали подозревать самих клиентов банка в мошенничестве. Те лгали, что деньги были украдены, надеясь получить страховку. Ведь банк видел, кто переводит деньги, но как вор мог находиться дома и делать переводы без ведома хозяина.
Странным было и то, что для банковских счетов была предусмотрена масса дополнительных уровней безопасности, прежде чем пользователь мог попасть в онлайн-банк для совершения каких-либо операций. Кроме имени пользователя и паролей есть секретный вопрос или пин-код. Банк также регистрирует метаданные своих клиентов. Например в какое время они обычно входят в систему, с какого IP-адреса, какой браузера они обычно используют, любые цифровые отпечатки.
Таким образом, если попытка входа происходит с нетипичного браузера или IP-адреса, который они привыкли видеть, это вызывало дополнительную проверку безопасности и вход блокировался до подтверждения личности. Но вопрос оставался открытым. Хакеры проникали в тысячи аккаунтов и беспрепятственно переводили деньги, ведь это были обычные операции от пользователей. ФБР было озадачено не на шутку. Несколько недель спустя американская разведывательная компания iDefense сделала открытие, которое перевернуло всё с ног на голову.
1 июня они обнаружили совершенно новую версию Zeus, сказалось бы, невозможными на тот момент технологиями. Сказать, что Славик превзошёл себя, было бы преуменьшением. В течение последних нескольких лет Славик использовал множество различных имён в интернете. AZ, Monster, Lucky12345, PolingSoon, прежде чем остановился на Slavik.
Взял на себя авторство и часто говорил о своём детище Zeus. Гениальный хакер на тот момент уже заработал кучу денег на продажи подписок Зевса. Ноу-хау в киберпреступном мире приносило огромные деньги. Только представьте, в среднем 3000 долларов за каждый комплект. По самым скромным подсчётам, к весне 2009 года Зевс использовали более 5000 уникальных клиентов. Славик прекрасно умел считать и чувствовал, что его обворовывают.
Нечестные на руку хакеры, да и попросту нубы пытались перепродать свои копии Зевса. Кто-то даже пытался выпускать собственные адаптированные версии, используя имя, которое было хорошо известно и уважаемо, благодаря совершенному коду и постоянным обновлениям оригинальной версии. Они наживались на его работе. Была и другая проблема. Банки не спали и совершенствовали свою защиту. Появилось больше видов двухфакторной аутентификации, больше уровней, через которые нужно было пробиваться.
Итак, в начале 2009 года Slavik объединился с командой Avalanche, которая все еще доминировала на рынке банковского фишинга, и написал обновленную версию Zeus под названием Jabber Zeus. В дополнение к уже имеющимся модулям кражи учетных данных и создания собственного ботнета, был добавлен модуль захвата форм для Firefox, подписка на который стоила 2000 долларов. Также появился модуль BackConnect, который стоил 1500 долларов и позволял хакеру перенаправлять любые отслеживания переводов с банковских счетов обратно на сам зараженный компьютер.
Таким образом переводы всегда возвращались на компьютер пользователя, а не на компьютер хакера. Большим дополнительным модулем был JabberChat, за него нужно было заплатить сверху еще 500 баксов. Дополнение включала джаббер. С включённым модулем Zeus был запрограммирован на отправку мгновенного сообщения в режиме реального времени хакерам всякий раз, когда пользователь входил на банковский счёт, баланс которого превышал определённую сумму.
Это ещё больше упрощало задачу для операторов Zeus. Представьте себе уровень — вы лишь получаете мгновенное сообщение «Эй, чувак, я только что нашёл банковский счёт со 100 тысячами долларов на нём. Вот имя пользователя и пароль». В чат приходили учётные данные для входа в систему, данные банковского счёта, баланс, код двухфакторной аутентификации, на какие резервные вопросы были даны ответы.
Хакеры фиксировали абсолютно всё и без труда заходили на компьютер, чтобы провести несколько транзакций. Пользователь компьютера просто не знал, что на его машине в фоновом режиме осуществляются переводы с банковского счёта. Для Зевса был доступен ещё один модуль — виртуальный сетевой компьютер. За 10 тысяч долларов он позволял хакерам на 100% контролировать заражённую машину с помощью активного виртуального соединения.
Это означало, что они могли туннелировать весь свой трафик через компьютер-пользователя, чтобы скрыть следы. Таким образом, банк думает, что пользователь вошёл в систему из дома, а не из России или любой другой страны. Полная автоматизация процесса. С разработкой Джаббер Зевса Славик нанял небольшую команду талантливых хакеров, которые помогали ему красть деньги из банков. Людей, которых он знал и отбирал лично, они начали фокусироваться на корпоративных счетах, на которых лежали от нескольких сотен тысяч до миллионов долларов.
Но оставалась главная проблема – вывод денег. Ответ был достаточно прост – дропы или денежные мулы. Хакерам, стоящим за Зевсом, нужно было найти людей, готовых выступать в роли посредников. За 5% от суммы дропы получали деньги на свой счет. Затем выписывали чек на сумму чуть меньше, полученной на счет хакеров или другого подставного дропа.
В день рядовой дроп мог зарабатывать от нескольких тысяч до десятков или сотен тысяч долларов. Итак, как только появилась новая версия Зевса, начался просто шквал атак с его использованием. Славик по-прежнему продавал версию Джаббер Зевса в комплекте, но ему надоело, что люди копируют его код и выпускают различные версии. Поэтому он решил написать систему идентификации и стал избирательно относиться к продаже. Теперь, когда люди платили за копию, она работала только на одной машине.
По сути, это была лицензия. Команда Джаббер Зевса была в ударе. В течение последующих месяцев они нападали на банки, малые предприятия, везде, где находили хорошие деньги, лежащие на банковских счетах в интернете. ФБР расследовало всё больше и больше подобных атак. Они начали распознавать признаки Джаббер Зевса. ФБР удалось отследить домен сервера Джаббер, который использовался для отправки мгновенных сообщений Зевсам. IP-адрес привел их к серверу компании EasyNet, который находился в Бруклине, штат Нью-Йорк.
Поскольку компания базировалась в США, ФБР смогли выдать ордер на обыск и ознакомиться с дополнительной информацией о клиенте, который платил за этот сервер. Сервер был зарегистрирован на некоего Алексея С. Из компании, расположенной в Москве. В штабе ФБР начали изучать содержимое сервера. Там были журналы и записи каждой атаки, банковские данные, учётные данные пользователей, названия банков и предприятий, которые стали неудачными жертвами.
Но, к огромному удивлению агентов, там также были полные логи-чатов между членами хакерской команды на русском языке, что вызвало длительный процесс перевода. Но ФБР понимало, что получило золотую жилу доказательств. Также был составлен список жертв, к которым ФБР теперь могло обратиться и сообщить им, что их аккаунты были взломаны. К этому времени Славик использовал Зевса для заработка денег тремя различными способами.
Для кражи денег из банков, затем он сдавал ботнет в аренду людям, которые использовали его по своему желанию, и продавал вредоносное ПО Зевс за подписку более чем в 10 тысяч долларов. Эта деятельность приносила ему огромные деньги. Тем не менее, он не собирался останавливаться и добавил ещё больше новых функций и выпустил ZEVS версии 2, который позволял пользователям отслеживать сетевой трафик, делать скриншоты, записывать нажатия клавиш, красть сертификаты и подключаться к другим банковским системам.
В 2011 году в сеть просочился весь исходный код Zeus, это означало, что теперь любой мог разработать свою собственную версию Zeus и сделать ещё больше вредоносных программ. К этому моменту Славик пропал. Для всего мира Славик, казалось бы, исчез. На самом же деле он работал над новой версией Зевса. В 2011 году вышла третья версия.
И это была первая вредоносная программа для онлайн-банкинга, которая предлагалась как услуга. Эта версия получила название Game Over Zeus. Game Over Zeus был самой эффективной и успешной версией Зевса. В сентябре 2012 года с её помощью кто-то украл полмиллиона долларов у одной компании и отправил деньги на счета в Китае. В сентябре того же года геймовер был использован, чтобы украсть 2 миллиона долларов у американской типографии.
Никто не знает, кто стоял за этими кражами до сих пор. Модель подписки, которую создал Славик, позволяла использовать его программу любому, кто умеет пользоваться мышкой. Весной 2012 года компания Microsoft объявила об изъятии более 800 доменов, которые использовались батнетами SpyEye и Zeus. Ещё несколько исследователей безопасности присоединились к команде Microsoft и попытались уничтожить ботнет.
Ботнет Zeus должен был получать инструкции от центрального сервера, и если его уничтожить, то вся ботнет-сеть стала бы уязвимой. Геймовер Zeus был спроектирован с впечатляющей устойчивостью. Он просто переключался на новый набор доменов и центральный сервер. К лету 2012 года у ФБР было достаточно доказательств того, кто управлял Zeus. Они вынесли обвинительное заключение в отношении десяти человек, причастных к работе вредоносной программы, но не подавали никакого виду, чтобы не дать преступникам понять, что их раскусили и держали обвинительное заключение в секрете.
Среди обвиненных был и Славик. ФБР проникло в сеть Zeus и собрало достаточно доказательств, чтобы предъявить ему обвинение. Однако они не знали его настоящего имени до сих пор и попросту предъявили обвинение одному из его никнеймов – Лаки12345. Тем временем Славик находился в России, которая была надёжно защищена от длинной руки американского закона.
В ноябре 2012 года кто-то использовал геймовер Zeus и украл более 7 миллионов долларов у банка. Этого было недостаточно, и хакеры решили провести DDoS-атаку на банк в течение следующих нескольких дней, в результате чего функционал банка страдал от перебоев в работе сети. ФБР было в ярости от наглости. Ограбление на сумму 7 миллионов долларов было самым крупным, совершённым с помощью вредоносной программы ZEVS.
Кто стоял за этой атакой, также остаётся загадкой до сих пор. В 2013 году была предпринята ещё одна попытка уничтожить ботнет. На этот раз исследователями из компании CrowdStrike, специализирующимися на безопасности. Они попытались скоординировать широкомасштабную атаку на сеть. В этот раз Славик оказался на другой стороне, и изо всех сил старался сохранить контроль над ботнетом. И не прекращать работу. Он знал, что такие попытки взлома будут предприниматься, и всегда был на шаг впереди, защищая своё творение.
Устойчивость была просто поразительной, бизнес нужно было расширять. Славик назвал свою команду «Бизнес-клуб», состоящий из шести человек. У каждого из них была своя специализация, одни были хороши в техподдержке, другие в создании вредоносных программ, третьи — в вербовке дропов. Аппетиты было не утолить. Сидя за круглым столом, бизнес-клуб думала о том, как ботнет ZEVS может заработать еще большие деньги.
И тут всех осенило. Вымогатели. В октябре 2013 года они решили добавить в набор ZEVS программу CryptoLocker. Теперь ZEVS, как и раньше, может заражать компьютеры, красть пароли и ждать пока пользователь войдет в банковский аккаунт. Но теперь он еще и может зашифровать систему и потребовать выкуп за расшифровку. Фаталити. Расчет был точен, хакеры обозначили стоимость расшифровки от 500 до 1000 долларов.
Жертвы исправно платили. Публичная демонстрация состоялась в ноябре 2013 года. Полицейский департамент в Массачусетсе подвергся атаке Зевса, а затем и вымогательской программы Криптолокер. Хакеры потребовали всего 750 долларов за разблокировку всей системы, и полицейский департамент заплатил. Наглости не было предела. К маю 2014 года ФБР выяснило настоящую личность Славика – Евгений Богачёв.
Ему было около 20 лет, он жил в Анапе, ФБР предъявило ему обвинение под настоящим именем, обвиняя в банковском мошенничестве и отмывании денег. В 2014-2015 годах Министерство юстиции США потратило огромное количество средств времени, пытаясь уничтожить ботнет Зевс. Атака началась с раннего утра пятницы и продолжалась в течение всех выходных.
ФБР и зарубежные правоохранительные органы ввели скоординированную захват компьютерных серверов по всему миру, которые были основой как гейм-оверзевса, так и криптолокера. Изъятия были произведены в Канаде, Франции, Германии, Люксембурге, Нидерландах, Украине и Великобритании. Действия спецслужб привели к серьезному нарушению работы ботнета, но не уничтожили его. Евгению Богачеву, гражданину России, были предъявлены обвинения в Питтсбурге, штат Пенсильвания за его роль администратора батнета Game Over Zeus.
Богачёв – настоящий преступник 21 века, совершающий киберпреступления по всему миру одним нажатием клавиши и щелчком мыши. Эти обвинения позволили Богачёву занять место в списке самых разыскиваемых киберпреступников мира. Его лицо прямо здесь, на большом плакате ФБР с идентификационными данными, такими как день рождения, цвет глаз, вес и псевдонимы.
Награда в 3 миллиона долларов – это самая большая награда когда-либо предложенная ФБР за разыскиваемого хакера. ФБР включила его в список в 2015 году, но Славик до сих пор не пойман. Предположительно, он всё ещё находится в России. ФБР пыталась сотрудничать с Россией и отправляла запросы, чтобы добиться его задержания, но, несмотря на все усилия, им не удалось привлечь его к ответственности.
По оценкам, Зевс заразил от 500 тысяч до нескольких миллионов компьютеров по всему миру. От мошеннических банковских переводов только Америка потеряла более 100 миллионов долларов, плюс 27 миллионов, которые хакеры собрали в результате платежей за разблокировку систем. Зевс навсегда останется в истории как одна из самых сложных и прибыльных программ для ограбления банков, которая атаковала не сам банк, а клиентов, похищая деньги со счетов пользователей без шума и пыли.
Что касается Славика, никто не знает, где он сейчас. Возможно, просто красиво ушёл в закат. Если вам интересны подобные темы обязательно поддержите лайком и комментарием, ведь именно так я понимаю что вам интересен контент.
