Осуждены три хакера, которых с «голливудским» драматизмом ловили девять лет

Софт Безопасность ИТ в госсекторе
мобильная версия
, Текст: Роман Георгиев

Члены Bayrob начинали с мошенничества на eBay, а в итоге создали крупный ботнет, с помощью которого зарабатывали миллионы. Поймать злоумышленников не могли много лет.


Громкий конец и скромное начало

Суд в США вынес обвинительный вердикт трем румынским хакерам, которые заразили около 400 тыс. компьютеров на территории США вредоносным ПО. Злоумышленники заработали самое меньшее $4 млн долларов. В Symantec называют сумму, почти в девять раз большую — $35 млн. Двое из трех подсудимых признали вину.

Богдан Николаеску (Bogdan Nicolaescu), Раду Миклаус (Radu Miclaus) и главарь банды — Тибериу Данет (Tiberiu Danet) много лет вели комплексную киберпреступную деятельность. Они начинали с хорошо продуманных мошеннических операций на онлайновых аукционах — в частности, занимались торговлей несуществующими автомобилями через eBay. Жертвам присылались слайд-шоу, изображавшие мнимый предмет продажи с разных ракурсов, и зараженные вредоносным ПО, перенаправлявшим жертв на поддельные страницы eBay.

В дальнейшем, по сведениям правоохранительных органов Румынии, злоумышленники начали активно посещать российские хакерские форумы и изучать мошеннические схемы, которые на них так или иначе описывались.

rumyny600.jpg
В США осудили членов одной из самых скрытных и успешных хакерских группировок

Учение пошло впрок. Члены Bayrob принялись создавать многочисленные фирмы-однодневки, через которые отмывались вырученные от мошенничества деньги. Среди прочего они даже создали в США фальшивую грузоперевозочную фирму, которая якобы должна была доставлять купленные жертвами мошенничества автомобили. Злоумышленникам удавалось добиваться предоплаты, и к тому времени как жертва понимала, что ее надули, отследить и вернуть средства уже было невозможно.

Расширяем горизонт, недорого

Члены Bayrob также активно занимались наймом людей в США для использования их в качестве «денежных мулов». Для начала злоумышленники размещали объявления о приеме на удаленную работу в несуществующие компании — чаще всего их использовали втемную. Отобранным соискателям приходилось затем снимать вручную деньги с американских счетов группировки и перенаправлять их через свои личные счета на другие счета румынских хакеров.

В некоторых случаях «денежные мулы» занимались конвертацией грязных денег в цифровые валюты. Иногда же члены Bayrob покупали дорогие товары с доставкой на адреса своих «мулов» в США; затем эти товары либо переправлялись в другие страны, либо перепродавались. В любом случае, отследить денежные потоки оказывалось очень сложно или невозможно вовсе. Члены Bayrob, к слову, активно обманывали и своих «мулов», оставляя их без какого-либо вознаграждения.

Затем Bayrob сменили modusoperandi: теперь главными их инструментами стали вредоносные программы. В ходе продолжающегося изучения русских хакерских форумов, румынские злоумышленники убедились, что операции с использованием банковских троянцев (в первую очередь, Zeus/Zbot) могут быть очень прибыльными, и начали создавать и развивать собственный флагманский вредонос.

В итоге они создали многофункциональную программу, которую рассылали со спамом от имени Western Union, антивирусного производителя Norton и Налоговой службы США.

Установившись на компьютер жертвы, эти программы автоматически собирали всю информацию из списков контактов, а также регистрировали от имени жертв почтовые аккаунты на AOL, с которых рассылали зараженный спам по всем найденным адресам. Только фальшивых адресов на AOL было создано не менее 10 тыс. Количество же зараженных писем исчисляется миллионами.

Этим функциональность вредоноса Bayrob не ограничивалась: он был способен перехватывать обращения жертвы к таким сайтам как Facebook, PayPal и eBay и перенаправлять их на фишинговые копии этих сайтов, через которые у жертв крали реквизиты доступа, которые затем использовались для совершения новых мошеннических действий или продавались на подпольных рынках в даркнете.

Когда стоимость криптовалют взлетела до небес, Николеску и компания решили не оставаться в стороне. Флагманский вредонос Bayrob обзавелся функцией генерации Bitcoin, а активность его распространения возрасла в несколько раз. На его пике в ботнет Bayrob входили от 300 (по данным Symantec) до 400 (по данным минюста США) тыс. компьютеров.

Наружка и прокси

В итоге члены Bayrobпопали в списки самых разыскиваемых ФБР преступников. Охоту за ними развернули и фирмы, занимающиеся разработками средств безопасности, в первую очередь, Symantec, внимательно отслеживавшая деятельность группировки с 2011 г. Интерес к ней стали проявлять также ESET, Comodo, Fortinet и др.

Хакеры почуяли «хвост». Много лет им удавалось работать, не привлекая ничьего внимания, но когда они все-таки попали на радары, началась игра в кошки-мышки, которую злоумышленники вели с большой изощренностью. Вредоносные программы обновлялись регулярно. Иногда в них встречались хамские комментарии в адрес экспертов по информационной безопасности (опять-таки, Symantec, в первую очередь), но несмотря на это ребячество, члены Bayrob демонстрировали очень высокую квалификацию и в плане написания кода, и в плане заметания следов: операционная безопасность группировки оказалась чрезвычайно эффективной. Все их внутренние коммуникации были зашифрованными с использованием протоколов PGP и OTR; вредоносные серверы — закрыты двумя уровнями прокси (один в Румынии, один в США).

Но именно в прокси-защите и удалось найти слабое место, позволившее экспертам Symantec начать пристально отслеживать деятельность группировки. Прошло полтора года, прежде чем злоумышленники совершили ошибку, стоившую им ареста, экстрадиции и осуждения.

Один из них — Миклаус, работая за уже «пробитой» прокси-защитой, зашел не в один из спаммерских аккаунтов на AOL, а в свой личный. Таким образом у Symantec появился первый подозреваемый с именем и фамилией. Постепенно удалось раскрыть и остальных.

Затем другой из подозреваемых — Данет — поехал в США навестить друзей. На границе его ждали сотрудники ФБР, которые тайно обыскали его телефон и нашли всю переписку с другими членами Bayrob.

Сбор улик продолжался до июля 2016 г. После этого сведения были переданы румынской полиции. Все трое подозреваемых были арестованы и выданы в США. Им были предъявлены обвинения по 21 пунктам.

Бесславный исход

Данет признал себя виновным в ноябре 2018 г. Миклаус — только сейчас. Николаэску утверждает, что он не имеет никакого отношения к группировке и просто жил в одном доме с Миклаусом. Хотя не отрицает, что о существовании Bayrob он знал.

Приговор Данету вынесут 2 мая 2019 г. Миклаусу и Николаэску приговор будет вынесен 14 августа. Очевидно, всех троих ждут весьма продолжительные сроки.

Интересно, что главарем банды, а точнее, ведущим техническим специалистом и автором вредоносного кода, был именно Данет. Выпускник одного из лучших в Румыниии учебных заведений — он в юные годы был победителем сразу нескольких международных соревнований по информатике. В 2008 г. его назначили тренером национальной команды по информатике Румынии, хотя он еще был студентом.

Знакомые Данета считают, что он мог бы устроиться работать куда и как угодно, и легально зарабатывать те же деньги, которые добывал преступным путем.

Именно его высочайшая квалификация обеспечила Bayrob девять лет безопасного и безбедного существования.

«Данет, судя по всему, — это готовый герой для голливудского блокбастера "про хакеров": высококлассный математик и программист c повышенным уровнем интеллекта и преступными наклонностями, — считает Антон Медведев, эксперт по информационной безопасности компании SEC Consult Services. — На протяжении уже многих лет борцы с цифровой преступностью доказывают, что среднестатистический киберпреступник — это обычный жулик, который даже не обязательно понимает что-то в программировании: ему достаточно знать, где взять и как использовать написанное кем-то еще вредоносное ПО. В большинстве случаев так и есть, но главарь Bayrob — это как раз такой "олдскульное" исключение из общего правила. Помимо всего прочего, казус Bayrob доказывает, что для успешного ведения длительных киберпреступных операций совершенно не обязательно, например, работать на спецслужбы национальных государств или быть членом обширной группировки. Три человека смогли девять лет безнаказанно наносить крупный ущерб, и оставаться непойманными. Если бы не ошибка одного из них, они могли бы продолжать свою деятельность еще не один год».