Поделиться
В России пойман хакер-наемник, администрировавший огромные ботсети
В Новокузнецке задержан хакер-наемник, администрировавший для различных преступных группировок ботнеты как минимум на 50 тыс. компьютеров. Задержанный действовал по модели cybercrime-as-a-service — он предлагал свои услуги на форумах, не зная о заказчиках ничего, кроме псевдонимов.
Наемник из Новокузнецка
Сотрудники МВД задержали в городе Новокузнецке Кемеровской области кибернаемника, занимавшегося администрированием ботнетов по заказу различных преступных группировок. Речь идет о крупных ботсетях — только за последние три месяца под руководством администратора могли работать сети, насчитывающие как минимум 50 тыс. компьютеров. Соответствующее ПО было найдено на его ноутбуке, сообщает ИБ-компания Group-IB. Задержанному 25 лет, официально он безработный.
Злоумышленнику предъявлено обвинение по части 1 статьи 273 Уголовного кодекса России, предусматривающей наказание за создание, использование и распространение вредоносных компьютерных программ. Статья предлагает за это наказание в виде четырех лет ограничения свободы, либо принудительных работ, либо лишения свободы. Предполагается также выплата штрафа в размере до 200 тыс. руб. или дохода осужденного за период до 18 месяцев.
Cybercrime-as-a-service
Администратор из Новокузнецка работал по модели cybercrime-as-a-service. Он арендовал сервера, которые использовал для развертывания, тестирования и обслуживания административных панелей троянов. Заказчиков, нуждающихся в услугах по администрированию ботнетов и настройке серверов управления, он находил на форумах в Даркнете. Кроме того, задержанный занимался кражей логинов и паролей от почты и браузера, которые затем продавал на подпольных форумах.
На хакерских форумах будущий наемник начал проводить время с 15 лет, параллельно подрабатывая разработкой сайтов для компьютерных игр. Свои первые заказы он получал на создание и обслуживание административных панелей для управления вредоносным ПО, затем начал продавать такие админки в готовом виде. Настройка одной админки обходилась заказчикам от 1 тыс. до 5 тыс руб., оплата услуг наемника осуществлялась в криптовалюте.
Следствие пытается выяснить, на какие именно преступные группировки работал злоумышленник. Рассматривается также вариант, что он является участником какого-то конкретного хакерского коллектива, а выполнение заказов для других групп было для него своеобразной подработкой. По словам самого задержанного, который признал вину, его заказчики на хакерских форумах работают под псевдонимами.
Администратор сознался, что понимал, что настроенные им серверы могут использоваться для кражи данных. Специалисты Group-IB полагают, что приобретенные у наемника данные могли использоваться хакерами для рассылки спама, заражения устройств вредоносным ПО, мошенничества и кражи денег.
По словам Сергея Лупанина, руководителя отдела расследований Group-IB, к услугам посторонних специалистов по схеме cybercrime-as-a-service прибегают как коммерческие, так и прогосударственные хакерские группы. При этом наемники действительно могут не знать, на кого работают, но у них, как правило, есть сложившийся круг работодателей.
Громкие дела
Специализацией задержанного были трояны класса RAT (Remote Access Toolkit). Такие трояны позволяют получить полный доступ к компьютеру жертвы. К ним относятся Pony, SmokeBot, BetaBot, Novobot, njRAT, Neutrino, DiamondFox, Tresure Hunter RAMScraper для POS-терминалов и др.
На след наемника удалось выйти в ходе расследования инцидента с трояном Pony Formgrabber, который имел место весной 2018 г. Данный троян используется для кражи учетных записей. С его помощью администратор из Новокузнецка сумел заразить порядка 1 тыс. ПК российских и иностранных пользователей, получив при этом доступ к их почте. Созданная таким образом ботсеть проработала с осени 2017 г. до августа 2018 г. С ее помощью хакер похищал с устройств логины, пароли и другие персональные данные.
В Group-IB отмечают, что Pony Formgrabber — это тот самый троян, который использовала группировка Toplel для атак на клиентов российских банков в 2014-2015 гг. и в 2017 г. Этот же троян, наряду с другими программами, был использован для компрометации 40 тыс. аккаунтов крупных государственных ресурсов в 30 странах мира.
В последнее время новокузнецкий наемник занялся тестированием вредоносного ПО под ОС Android, в том числе мобильного трояна LokiBot. Это связано с тем, что мобильные трояны в мире киберпреступности начали приобретать большую популярность, чем трояны для ПК.
Поделиться
Короткая ссылка
