Новое исследование средств защиты конечных точек


Громкий конец и скромное начало

Суд в США вынес обвинительный вердикт трем румынским хакерам, которые заразили около 400 тыс. компьютеров на территории США вредоносным ПО. Злоумышленники заработали самое меньшее $4 млн долларов. В Symantec называют сумму, почти в девять раз большую - $35 млн. Двое из трех подсудимых признали вину.

Богдан Николаеску (Bogdan Nicolaescu), Раду Миклаус (Radu Miclaus) и главарь банды - Тибериу Данет (Tiberiu Danet) много лет вели комплексную киберпреступную деятельность. Они начинали с хорошо продуманных мошеннических операций на онлайновых аукционах - в частности, занимались торговлей несуществующими автомобилями через eBay. Жертвам присылались слайд-шоу, изображавшие мнимый предмет продажи с разных ракурсов, и зараженные вредоносным ПО, перенаправлявшим жертв на поддельные страницы eBay.

В дальнейшем, по сведениям правоохранительных органов Румынии, злоумышленники начали активно посещать российские хакерские форумы и изучать мошеннические схемы, которые на них так или иначе описывались.

В США осудили членов одной из самых скрытных и успешных хакерских группировок

Учение пошло впрок. Члены Bayrob принялись создавать многочисленные фирмы-однодневки, через которые отмывались вырученные от мошенничества деньги. Среди прочего они даже создали в США фальшивую грузоперевозочную фирму, которая якобы должна была доставлять купленные жертвами мошенничества автомобили. Злоумышленникам удавалось добиваться предоплаты, и к тому времени как жертва понимала, что ее надули, отследить и вернуть средства уже было невозможно.

Расширяем горизонт, недорого

Члены Bayrob также активно занимались наймом людей в США для использования их в качестве денежных мулов. Для начала злоумышленники размещали объявления о приеме на удаленную работу в несуществующие компании - чаще всего их использовали втемную. Отобранным соискателям приходилось затем снимать вручную деньги с американских счетов группировки и перенаправлять их через свои личные счета на другие счета румынских хакеров.

В некоторых случаях денежные мулы занимались конвертацией грязных денег в цифровые валюты. Иногда же члены Bayrob покупали дорогие товары с доставкой на адреса своих мулов в США; затем эти товары либо переправлялись в другие страны, либо перепродавались. В любом случае, отследить денежные потоки оказывалось очень сложно или невозможно вовсе. Члены Bayrob, к слову, активно обманывали и своих мулов, оставляя их без какого-либо вознаграждения.

Затем Bayrob сменили modusoperandi: теперь главными их инструментами стали вредоносные программы. В ходе продолжающегося изучения русских хакерских форумов, румынские злоумышленники убедились, что операции с использованием банковских троянцев (в первую очередь, Zeus/Zbot) могут быть очень прибыльными, и начали создавать и развивать собственный флагманский вредонос.

В итоге они создали многофункциональную программу, которую рассылали со спамом от имени Western Union, антивирусного производителя Norton и Налоговой службы США.

Установившись на компьютер жертвы, эти программы автоматически собирали всю информацию из списков контактов, а также регистрировали от имени жертв почтовые аккаунты на AOL, с которых рассылали зараженный спам по всем найденным адресам. Только фальшивых адресов на AOL было создано не менее 10 тыс. Количество же зараженных писем исчисляется миллионами.

Этим функциональность вредоноса Bayrob не ограничивалась: он был способен перехватывать обращения жертвы к таким сайтам как Facebook, PayPal и eBay и перенаправлять их на фишинговые копии этих сайтов, через которые у жертв крали реквизиты доступа, которые затем использовались для совершения новых мошеннических действий или продавались на подпольных рынках в даркнете.

Когда стоимость криптовалют взлетела до небес, Николеску и компания решили не оставаться в стороне. Флагманский вредонос Bayrob обзавелся функцией генерации Bitcoin, а активность его распространения возрасла в несколько раз. На его пике в ботнет Bayrob входили от 300 (по данным Symantec) до 400 (по данным минюста США) тыс. компьютеров.

Наружка и прокси

В итоге члены Bayrobпопали в списки самых разыскиваемых ФБР преступников. Охоту за ними развернули и фирмы, занимающиеся разработками средств безопасности, в первую очередь, Symantec, внимательно отслеживавшая деятельность группировки с 2011 г. Интерес к ней стали проявлять также ESET, Comodo, Fortinet и др.

Хакеры почуяли хвост. Много лет им удавалось работать, не привлекая ничьего внимания, но когда они все-таки попали на радары, началась игра в кошки-мышки, которую злоумышленники вели с большой изощренностью. Вредоносные программы обновлялись регулярно. Иногда в них встречались хамские комментарии в адрес экспертов по информационной безопасности (опять-таки, Symantec, в первую очередь), но несмотря на это ребячество, члены Bayrob демонстрировали очень высокую квалификацию и в плане написания кода, и в плане заметания следов: операционная безопасность группировки оказалась чрезвычайно эффективной. Все их внутренние коммуникации были зашифрованными с использованием протоколов PGP и OTR; вредоносные серверы - закрыты двумя уровнями прокси (один в Румынии, один в США).

Но именно в прокси-защите и удалось найти слабое место, позволившее экспертам Symantec начать пристально отслеживать деятельность группировки. Прошло полтора года, прежде чем злоумышленники совершили ошибку, стоившую им ареста, экстрадиции и осуждения.

Один из них - Миклаус, работая за уже пробитой прокси-защитой, зашел не в один из спаммерских аккаунтов на AOL, а в свой личный. Таким образом у Symantec появился первый подозреваемый с именем и фамилией. Постепенно удалось раскрыть и остальных.

Затем другой из подозреваемых - Данет - поехал в США навестить друзей. На границе его ждали сотрудники ФБР, которые тайно обыскали его телефон и нашли всю переписку с другими членами Bayrob.

Сбор улик продолжался до июля 2016 г. После этого сведения были переданы румынской полиции. Все трое подозреваемых были арестованы и выданы в США. Им были предъявлены обвинения по 21 пунктам.

Бесславный исход

Данет признал себя виновным в ноябре 2018 г. Миклаус - только сейчас. Николаэску утверждает, что он не имеет никакого отношения к группировке и просто жил в одном доме с Миклаусом. Хотя не отрицает, что о существовании Bayrob он знал.

Приговор Данету вынесут 2 мая 2019 г. Миклаусу и Николаэску приговор будет вынесен 14 августа. Очевидно, всех троих ждут весьма продолжительные сроки.

Интересно, что главарем банды, а точнее, ведущим техническим специалистом и автором вредоносного кода, был именно Данет. Выпускник одного из лучших в Румыниии учебных заведений - он в юные годы был победителем сразу нескольких международных соревнований по информатике. В 2008 г. его назначили тренером национальной команды по информатике Румынии, хотя он еще был студентом.

Знакомые Данета считают, что он мог бы устроиться работать куда и как угодно, и легально зарабатывать те же деньги, которые добывал преступным путем.

Именно его высочайшая квалификация обеспечила Bayrob девять лет безопасного и безбедного существования.

Данет, судя по всему, - это готовый герой для голливудского блокбастера про хакеров: высококлассный математик и программист c повышенным уровнем интеллекта и преступными наклонностями, - считает Антон Медведев, эксперт по информационной безопасности компании SEC Consult Services. - На протяжении уже многих лет борцы с цифровой преступностью доказывают, что среднестатистический киберпреступник - это обычный жулик, который даже не обязательно понимает что-то в программировании: ему достаточно знать, где взять и как использовать написанное кем-то еще вредоносное ПО. В большинстве случаев так и есть, но главарь Bayrob - это как раз такой олдскульное исключение из общего правила. Помимо всего прочего, казус Bayrob доказывает, что для успешного ведения длительных киберпреступных операций совершенно не обязательно, например, работать на спецслужбы национальных государств или быть членом обширной группировки. Три человека смогли девять лет безнаказанно наносить крупный ущерб, и оставаться непойманными. Если бы не ошибка одного из них, они могли бы продолжать свою деятельность еще не один год.

Короткая ссылка на материал: http://cnews.ru/link/n472121

Другие новости на эту тему

Французский сейсмограф SEIS впервые в истории зафиксировал небольшие подземные толчки на Марсе. Об этом космическое агентство Франции CNES сообщило в Twitter.Отмечается, что слабый, но отчетливый сейсмический сигнал был выявлен 6 апреля - в 128-й день марсианской миссии SEIS. По данным CNES, он напоминает активность, которую зафиксировали на поверхности Луны во время миссии Аполлона (США) в 1960-1970-х годах.По предварительным данным, это именно толчки, а не ветер или какие-то другие внешние факторы...
В ходе огневых испытаний двигателей пилотируемого корабля Crew Dragon произошел взрыв, сообщает ArsTechnica.Нештатная ситуация произошла 20 апреля на мысе Канаверал во Флориде (США) во время испытаний системы аварийного спасения летательного аппарата.Американское издание отмечает, что взорвался пилотируемый корабль, ранее летавший к Международной космической станции (МКС), а причины случившегося неизвестны. Вероятно, инцидент могла спровоцировать человеческая ошибка или ошибка в конструкции двигателя SuperDraco...
Двигатель первого этапа АЛ-41Ф-1 для российского истребителя пятого поколения Су-57 прошел необходимые испытания и запущен в серийное производство, сообщает ТАСС.Согласно презентации разработчика (Опытно-конструкторское бюро имени Люльки), имеющейся в распоряжении агентства, конструкторская документация на силовой агрегат передана производителю в ноябре 2018 года. Там же отмечается, что в ходе опытно-конструкторских работ было собрано 38 двигателей, включая 30 - для летных испытаний Су-57...
Белые акулы испытывают беспокойство и страх при виде косаток, которые охотятся за их печенью. Об этом сообщает научное издание Scientific Reports.Группа американских биологов проводила наблюдения в период с 2006 по 2013 годы. Данные показали, что всякий раз, когда косатки появлялись в зоне охоты белых акул, те сразу же уплывали подальше и могли не появляться в этом месте долгое время.Ученые рассказали, что в 2017 году на берег были выброшены пять мертвых акул, и у каждой отсутствовала печень. Исследователей удивило, что орган был удален с почти хирургической точностью...
4К-ТВ по цене смартфона Компания Xiaomi обновила линейку смарт-телевизоров Mi TV, показав четыре модели различного уровня - ультрабюджетную, две топовых и одну среднего класса. Новинки различаются габаритами (от 32 до 60 дюймов), поддерживаемым разрешением (от HD до Ultra HD) и объемом встроенной памяти, а их стоимость, объявленная только для рынка Китая, варьируется от $165 до $600 (от 10,5 до 38,2 тыс. руб. по курсу ЦБ на 23 апреля 2019 г. соответственно). Для сравнения, за 38 тыс. руб. в России можно приобрести флагманский смартфон Xiaomi Mi 9...
Приложение Linux on Dex Samsung выпустила бета-версию бесплатного приложения Linux on Dex, которое позволяет запускать дистрибутивы Linux на некоторых смартфонах и планшетах линейки Galaxy. На данный момент поддерживаются планшеты Galaxy Tab S4 и S5e, а также смартфоны Galaxy S9 и S9+; Galaxy S10, S10+, S10e и S10 5G. Благодаря этому приложению мобильный девайс можно превратить в полноценный компьютер, подключив к нему монитор при помощи специального кабеля. Linux стартует в полноэкранном режиме и в ней можно запускать программы, которые совместимы с 64-битной архитектурой ARM...
Взлом французского Telegram Французское правительство запустило собственный мессенджер под названием Tchap, который должен защитить переписку госслужащих от взлома иностранными хакерами, а также от манипуляций с данными со стороны технологических компаний. Исходный код мессенджера был опубликован на GitHub, а в магазинах для iOS и Android появились соответствующие приложения. Через два дня в Tchap была обнаружена серьезная уязвимость, которую нашел исследователь безопасности Батист Робер (Baptiste Robert), в интернете известный также как @fs0c131y или Elliot Alderson...
Symway переехал на Байкал Российская компания Symway, являющаяся резидентом Сколково, портировала свои пиринговые системы на отечественные процессоры Байкал-Т1. Ранее эта компания создала, по собственному заявлению, первый в мире офисный телефон, которому для работы внутри корпоративной сети не требуются классические АТС, серверы или облака. Каждый из ее аппаратов, получивших наименование Symway P2P Phone, функционально представляет собой самостоятельную мини-АТС. При объединении их в сеть реализовываются принципы так называемой пиринговой (одноранговой) архитектуры...
Международная группа ученых измерила скорость таяния льда в Гренландии и оценила его потери с 1972 года. За последние десятилетия процессы разрушения ледников значительно ускорились в результате глобальных изменений климата. Об этом сообщается в пресс-релизе на Phys.org.Исследователи проанализировали снимки, сделанные спутниками дистанционного зондирования Landsat. Кроме того, были получены данные о высоте ледника, изменении силы тяжести и балансе массы.Оказалось, что в 70-е годы в Гренландии накапливалось 47 гигатонн льда в год, однако в 80-е ледники стали терять эквивалентную массу...
Ученые из Института физики Земли в Париже объяснили существование аномальных и быстрых изменений в магнитном поле, известных как геомагнитные рывки, или джерки (geomagnetic jerks). Механизмы, лежащие в основе этого явления, долгое время оставались загадкой. Об этом сообщает издание Phys.org.Исследователи разработали точную компьютерную симуляцию земного ядра. Модель показала, что причиной джерков являются гидромагнитные волны, излучаемые внутренним ядром Земли. По мере приближения к поверхности ядра волны фокусируются и усиливаются, вызывая возмущения, сопоставимые с наблюдаемыми джерками...