- Registrado
- 1 Jun 2014
- Mensajes
- 284
- Puntuación de reacción
- 263
- Puntos
- 63
How special services catch drops, and not only.
The story of how special services catch drops, and not only.
The fight against cybercrime today is no longer a myth, but a harsh reality. Gone are the days when the security services did not know from which end to approach the Network. This story is a vivid illustration of the fact that the special services have learned a lot and sometimes do really useful things.
Operation Trident Breach
In October, from the FBI press releases, the whole world learned about the large-scale international operation Trident Breach (literally: “a trident strike”), during which more than a hundred people who participated in the activities of a large ZeuS botnet were detained in the UK, USA and Ukraine.
Many probably already heard about the Trojan named ZeuS; We have devoted more than one article and note to this malware. Just in case, let me remind you that ZeuS, also known on the network as Zbot, PRG, Wsnpoem, Gorhax and Kneber, is a kind of latest fashion and most popular trend in a cybercriminal environment. This toolkit is in great demand on the black market, regularly updated, protected from illegal use, cleaner than licensed software, and is a real headache for all IT security companies on the planet. The authors of this software have been unsuccessfully searched for for quite some time. And when you can’t find the authors and tear out the "root of evil", you have to fight not with the cause, but with the consequences. Especially when the consequences are rampant.
The investigation, anticipating the mass arrests, began in May 2009. Then, while working on a case of theft of funds from 46 different bank accounts, FBI agents from the city of Omaha, Nebraska, found the “link” - they found clear signs of the ZeuS botnet. The Federal Bureau of Investigation quickly collated the facts on hand and concluded that the scale of the disaster was great. The Feds immediately contacted the local police, their counterpart to Department K (that is, the guys who are involved in the investigation of cybercrimes), other American intelligence agencies, and then made contact with their foreign colleagues from Ukraine, the UK and the Netherlands. We must say right away that the Dutch police were brought to business solely due to the fact that the attackers used some computer resources of the Netherlands.
Soon the situation began to clear up. The scheme used by network scammers was as simple as three pennies. The main target of these dudes was by no means large banks and corporations - they were aimed at small organizations, municipal enterprises, churches, hospitals, as well as rare individuals, mainly in the United States. The computers of the victims were infected almost by the old-fashioned method: scammers used targeted malicious e-mail mailings (letters carried links to ZeuS “on board”). As soon as unsuspecting citizens opened such a letter and followed the link, Vir broke into the system and did his dirty work there - collected account numbers, logins, passwords and other confidential data related to bank accounts. The owners of the botnet, having got this information on hand, managed to get to a huge number of accounts. The FBI reports that in this way attempts were made to steal about $ 220 million, but since not all of them were successful, the actual criminals (according to preliminary estimates) managed to get about $ 70 million. Bear in mind that everything was done very carefully: the FBI claims that the criminals tried not to withdraw more than a few thousand dollars at a time.
The scope is already impressive, right? Further more. As mentioned above, the roots of this criminal group led to Ukraine and other countries of Eastern Europe, and the network of so-called "mules" (from the English money mule - "money mule") - people who sent stolen money to the owners of the botnet (in carder terminology - drops) - as it turned out later, there were several hundred people.
How it works :
Most citizens arrested during the Trident Breach operation are between 20 and 25 years old, and all of them, in fact, are the lowest link in the structure of the botnet. When (and if) the theft of funds from the next account is successful, the money does not flow directly into the raking hands of the owners of the zombie network. It would be too simple, risky and primitive. Here the "mules" come into play, they are also "drops". In the case we are talking about today, this role was mainly played by ... students from Moldova, Ukraine, Russia, Belarus and Kazakhstan, who are in the United States on a J-1 visa, that is, under the Work & Travel program. For those who do not know: W&T allows young people to usefully live in the United States for some time, working, communicating with native speakers and so on. In a word, educational and cultural exchange. Such a travel program seemed boring to the “students”, since they decided to offer themselves to cyber fraudsters as drops.
How is this implemented? Again, pretty simple. Such “handsome men” are usually recruited through the Web, for example, through social networks (in our case, the FBI still refuses to divulge the name of the social network where the recruitment took place). For work they are offered a certain percentage of the cash out amounts, usually within 5-20% of the transfer. Further options are possible. Or, having entered the USA, the "mules" independently open fake bank accounts, to which stolen money goes. Or, the employer himself provides fake accounts to the drop: for example, they simply send a plastic card with a PIN code by mail to the mule. Often fake documents of all stripes are also involved in the case. Further, the "mule" task is elementary - you need to withdraw cash and transfer it to your "owners".
There is no need to go far for examples of these schemes. During the Trident Breach operation, the FBI introduced one of its agents into the fraudulent network precisely as a drop. Through a Russian social network (all communication took place in Russian), the agent found an "employer" hiding under the nickname Jack Daniels. Jack Daniels, who later turned out to be 26-year-old citizen of the Russian Federation Anton Yuferitsyn, proposed the following "job": it was required to open several bank accounts in the USA, receive transfers to them and cash out money. Under the close supervision of the FBI, everything was done, so well that the masked agent even managed to personally meet with Yuferitsyn. The "employer" suddenly decided to personally discuss with the "student" the prospect of opening a business account on which more money could be transferred. Obviously, during this first meeting, Jack Daniels did not suspect anything, since soon the first transfer in the amount of $ 9983 arrived at the expense of the dummy “mule”. A few days later, Jack Daniels made an appointment for the agent again, this time directly to transfer money. During this action Yuferitsyn was safely arrested.
He was charged with conspiracy to commit fraud, Jack Daniels pleaded guilty and even testified against other members of the group. But the most interesting thing is that at the moment, Anton Yuferitsyn has already been sentenced, and he turned out to be surprisingly lenient: 10 months in prison and $ 38,314 fine. The fact is that the prosecution until the last insisted on a maximum sentence of 20 years in prison and a fine of $ 500,000. We can assume that Yuferitsyn was either caught much earlier than officially announced, or he worked very zealously after the arrest .
As mentioned above, most of those arrested did not occupy key posts in the criminal group. Most of those charged or arrested are simple drops. In the USA alone, 39 people were arrested, and in total, 92 people were charged! Press releases issued on this subject by the Federal Bureau of Investigation describe in detail almost every case. For example, it is reported that a Russian citizen Maxim Miroshnichenko recruited drops, opened at least five fake accounts with TD Bank, Chase Bank, Bank of America and Wachovia, and also used fake passports and had contacts with hackers and people who could help Fake documents to other members of the organization. The remaining cases are similar, like two drops of water: these are either “mules”, or such, in general, small coordinators. They were charged with a variety of charges - from conspiracy to commit bank fraud and simply bank fraud to money laundering, forging documents, using fake documents and illegal use of passports. Prison sentences and fines threaten everyone extremely serious: from 10 to 30 years and from $ 250,000 to $ 1 million, respectively. However, it is not known whether the prosecution will succeed in insisting on its own, or whether it will succeed as with Yuferitsyn.
However, in addition to hundreds of drops captured by the Americans, another 20 people were arrested in the UK (eight searches were also conducted) and five more in Ukraine. And if in the United Kingdom the situation is almost similar to the American, then with the Ukrainians everything is somewhat more complicated. The fact is that, according to the reports of the FBI and the Ukrainian SBU, it seems that they caught the very top of the group - the organizers of the entire scheme described above. No, of course, there were no authors of the ill-fated ZBot among those arrested (although, according to many experts and representatives of special services, the malware was created precisely in the countries of Eastern Europe). There is still very little information about these five, however, it is known that the FBI has reason to believe that the botnet managers were in contact with ZeuS developers, who made them special versions of the toolkit.
All of the above, of course, is far from the end of the story. There are still more than a dozen people on the wanted list, probably more than one search, arrest, and also a lot of litigation. But be that as it may, the operation Trident Breach clearly proves that the world's special services can still "find an approach" to the botnets and are able to arrest not only "mules", but also people standing in the criminal hierarchy higher. And let you and I understand that this hundred and a few people is a drop in the ocean, and $ 70 million is miserable crumbs from billions disappearing in unknown directions, for intelligence agencies this is almost an unprecedented scale, and in general a good trend.
The story of how special services catch drops, and not only.
The fight against cybercrime today is no longer a myth, but a harsh reality. Gone are the days when the security services did not know from which end to approach the Network. This story is a vivid illustration of the fact that the special services have learned a lot and sometimes do really useful things.
Operation Trident Breach
In October, from the FBI press releases, the whole world learned about the large-scale international operation Trident Breach (literally: “a trident strike”), during which more than a hundred people who participated in the activities of a large ZeuS botnet were detained in the UK, USA and Ukraine.
Many probably already heard about the Trojan named ZeuS; We have devoted more than one article and note to this malware. Just in case, let me remind you that ZeuS, also known on the network as Zbot, PRG, Wsnpoem, Gorhax and Kneber, is a kind of latest fashion and most popular trend in a cybercriminal environment. This toolkit is in great demand on the black market, regularly updated, protected from illegal use, cleaner than licensed software, and is a real headache for all IT security companies on the planet. The authors of this software have been unsuccessfully searched for for quite some time. And when you can’t find the authors and tear out the "root of evil", you have to fight not with the cause, but with the consequences. Especially when the consequences are rampant.
The investigation, anticipating the mass arrests, began in May 2009. Then, while working on a case of theft of funds from 46 different bank accounts, FBI agents from the city of Omaha, Nebraska, found the “link” - they found clear signs of the ZeuS botnet. The Federal Bureau of Investigation quickly collated the facts on hand and concluded that the scale of the disaster was great. The Feds immediately contacted the local police, their counterpart to Department K (that is, the guys who are involved in the investigation of cybercrimes), other American intelligence agencies, and then made contact with their foreign colleagues from Ukraine, the UK and the Netherlands. We must say right away that the Dutch police were brought to business solely due to the fact that the attackers used some computer resources of the Netherlands.
Soon the situation began to clear up. The scheme used by network scammers was as simple as three pennies. The main target of these dudes was by no means large banks and corporations - they were aimed at small organizations, municipal enterprises, churches, hospitals, as well as rare individuals, mainly in the United States. The computers of the victims were infected almost by the old-fashioned method: scammers used targeted malicious e-mail mailings (letters carried links to ZeuS “on board”). As soon as unsuspecting citizens opened such a letter and followed the link, Vir broke into the system and did his dirty work there - collected account numbers, logins, passwords and other confidential data related to bank accounts. The owners of the botnet, having got this information on hand, managed to get to a huge number of accounts. The FBI reports that in this way attempts were made to steal about $ 220 million, but since not all of them were successful, the actual criminals (according to preliminary estimates) managed to get about $ 70 million. Bear in mind that everything was done very carefully: the FBI claims that the criminals tried not to withdraw more than a few thousand dollars at a time.
The scope is already impressive, right? Further more. As mentioned above, the roots of this criminal group led to Ukraine and other countries of Eastern Europe, and the network of so-called "mules" (from the English money mule - "money mule") - people who sent stolen money to the owners of the botnet (in carder terminology - drops) - as it turned out later, there were several hundred people.
How it works :
Most citizens arrested during the Trident Breach operation are between 20 and 25 years old, and all of them, in fact, are the lowest link in the structure of the botnet. When (and if) the theft of funds from the next account is successful, the money does not flow directly into the raking hands of the owners of the zombie network. It would be too simple, risky and primitive. Here the "mules" come into play, they are also "drops". In the case we are talking about today, this role was mainly played by ... students from Moldova, Ukraine, Russia, Belarus and Kazakhstan, who are in the United States on a J-1 visa, that is, under the Work & Travel program. For those who do not know: W&T allows young people to usefully live in the United States for some time, working, communicating with native speakers and so on. In a word, educational and cultural exchange. Such a travel program seemed boring to the “students”, since they decided to offer themselves to cyber fraudsters as drops.
How is this implemented? Again, pretty simple. Such “handsome men” are usually recruited through the Web, for example, through social networks (in our case, the FBI still refuses to divulge the name of the social network where the recruitment took place). For work they are offered a certain percentage of the cash out amounts, usually within 5-20% of the transfer. Further options are possible. Or, having entered the USA, the "mules" independently open fake bank accounts, to which stolen money goes. Or, the employer himself provides fake accounts to the drop: for example, they simply send a plastic card with a PIN code by mail to the mule. Often fake documents of all stripes are also involved in the case. Further, the "mule" task is elementary - you need to withdraw cash and transfer it to your "owners".
There is no need to go far for examples of these schemes. During the Trident Breach operation, the FBI introduced one of its agents into the fraudulent network precisely as a drop. Through a Russian social network (all communication took place in Russian), the agent found an "employer" hiding under the nickname Jack Daniels. Jack Daniels, who later turned out to be 26-year-old citizen of the Russian Federation Anton Yuferitsyn, proposed the following "job": it was required to open several bank accounts in the USA, receive transfers to them and cash out money. Under the close supervision of the FBI, everything was done, so well that the masked agent even managed to personally meet with Yuferitsyn. The "employer" suddenly decided to personally discuss with the "student" the prospect of opening a business account on which more money could be transferred. Obviously, during this first meeting, Jack Daniels did not suspect anything, since soon the first transfer in the amount of $ 9983 arrived at the expense of the dummy “mule”. A few days later, Jack Daniels made an appointment for the agent again, this time directly to transfer money. During this action Yuferitsyn was safely arrested.
He was charged with conspiracy to commit fraud, Jack Daniels pleaded guilty and even testified against other members of the group. But the most interesting thing is that at the moment, Anton Yuferitsyn has already been sentenced, and he turned out to be surprisingly lenient: 10 months in prison and $ 38,314 fine. The fact is that the prosecution until the last insisted on a maximum sentence of 20 years in prison and a fine of $ 500,000. We can assume that Yuferitsyn was either caught much earlier than officially announced, or he worked very zealously after the arrest .
As mentioned above, most of those arrested did not occupy key posts in the criminal group. Most of those charged or arrested are simple drops. In the USA alone, 39 people were arrested, and in total, 92 people were charged! Press releases issued on this subject by the Federal Bureau of Investigation describe in detail almost every case. For example, it is reported that a Russian citizen Maxim Miroshnichenko recruited drops, opened at least five fake accounts with TD Bank, Chase Bank, Bank of America and Wachovia, and also used fake passports and had contacts with hackers and people who could help Fake documents to other members of the organization. The remaining cases are similar, like two drops of water: these are either “mules”, or such, in general, small coordinators. They were charged with a variety of charges - from conspiracy to commit bank fraud and simply bank fraud to money laundering, forging documents, using fake documents and illegal use of passports. Prison sentences and fines threaten everyone extremely serious: from 10 to 30 years and from $ 250,000 to $ 1 million, respectively. However, it is not known whether the prosecution will succeed in insisting on its own, or whether it will succeed as with Yuferitsyn.
However, in addition to hundreds of drops captured by the Americans, another 20 people were arrested in the UK (eight searches were also conducted) and five more in Ukraine. And if in the United Kingdom the situation is almost similar to the American, then with the Ukrainians everything is somewhat more complicated. The fact is that, according to the reports of the FBI and the Ukrainian SBU, it seems that they caught the very top of the group - the organizers of the entire scheme described above. No, of course, there were no authors of the ill-fated ZBot among those arrested (although, according to many experts and representatives of special services, the malware was created precisely in the countries of Eastern Europe). There is still very little information about these five, however, it is known that the FBI has reason to believe that the botnet managers were in contact with ZeuS developers, who made them special versions of the toolkit.
All of the above, of course, is far from the end of the story. There are still more than a dozen people on the wanted list, probably more than one search, arrest, and also a lot of litigation. But be that as it may, the operation Trident Breach clearly proves that the world's special services can still "find an approach" to the botnets and are able to arrest not only "mules", but also people standing in the criminal hierarchy higher. And let you and I understand that this hundred and a few people is a drop in the ocean, and $ 70 million is miserable crumbs from billions disappearing in unknown directions, for intelligence agencies this is almost an unprecedented scale, and in general a good trend.
Original message
Как спецслужбы ловят дропов, и не только.
История о том, как спецслужбы ловят дропов, и не только.
Борьба с киберпреступностью в наши дни — уже далеко не миф, а суровая реальность. Прошли времена, когда спецслужбы не знали, с какого конца подступиться к Сети. Эта история представляет собой яркую иллюстрацию того, что спецслужбы многому научились и порой занимаются действительно полезными вещами.
Операция Trident Breach
В октябре месяце из пресс-релизов ФБР весь мир узнал о масштабной международной операции Trident Breach (дословно: "удар трезубцем"), в ходе которой в Великобритании, США и Украине были задержаны более ста человек, участвовавшие в деятельности крупного ZeuS-ботнета.
О троянце по имени ZeuS многие наверняка уже слышали; мы посвятили этому зловреду не одну статью и заметку. На всякий случай напомню, что ZeuS, также известный на просторах сети как Zbot, PRG, Wsnpoem, Gorhax и Kneber — это своего рода последний писк моды и популярнейший тренд в киберкриминальной среде. Данный инструментарий пользуется на черном рынке огромным спросом, регулярно обновляется, защищен от нелегального использования почище лицензионного софта и является настоящей головой болью для всех IT-безопасников планеты. Авторов этой софтины безуспешно ищут уже довольно долгое время. А когда не получается найти авторов и вырвать "корень зла", приходится бороться не с причиной, а со следствиями. Особенно когда следствия приобретают угрожающий размах.
Расследование, предвосхищавшее массовые аресты, началось в мае 2009 года. Тогда в ходе работы над делом о краже средств с 46 разных банковских счетов агенты ФБР из города Омаха, штат Небраска, нащупали "связующее звено" — они обнаружили отчетливые следы деятельности ZeuS-ботнета. Федеральное бюро расследований быстро сопоставило имеющиеся на руках факты и пришло к выводу, что масштаб бедствия велик. "Федералы" незамедлительно связались с местной полицией, своим аналогом Отдела "К" (то есть с парнями, которые занимаются именно расследованием киберпреступлений), другими американскими спецслужбами, а затем наладили контакт и со своими зарубежными коллегами из Украины, Великобритании и Нидерландов. Сразу скажем, что голландская полиция была привлечена к делу исключительно из-за того, что злоумышленники использовали некие компьютерные ресурсы Нидерландов.
Вскоре ситуация начала проясняться. Схема, которую использовали сетевые мошенники, оказалась проста, как три копейки. Основной мишенью этих чуваков являлись отнюдь не крупные банки и корпорации — они метили в небольшие организации, муниципальные предприятия, церкви, больницы, а также в редких частных лиц в основном на территории США. Заражение компьютеров жертв происходило практически дедовским методом: мошенники использовали целевые вредоносные e-mail-рассылки (письма несли "на борту" ссылки на ZeuS). Как только ничего не подозревающие граждане открывали такое письмо и проходили по линку, вирь вламывался в систему и делал там свое черное дело — собирал номера счетов, логины, пароли и прочие конфиденциальные данные, связанные с банковскими аккаунтами. Хозяева ботнета, заполучив эту информацию на руки, сумели добраться до огромного количества счетов. ФБР сообщает, что таким образом были осуществлены попытки кражи около $220 млн., но так как не все они были успешными, реально преступники (по предварительной оценке) сумели заполучить около $70 млн. Учти, что делалось все весьма аккуратно: ФБР утверждает, что преступники старались не снимать более нескольких тысяч долларов за раз.
Размах уже впечатляет, правда? Дальше — больше. Как уже было сказано выше, корни этой преступной группировки вели в Украину и другие страны Восточной Европы, а сеть так называемых "мулов" (от английского money mule — "денежный мул") — людей, которые переправляли краденые деньги владельцам ботнета (в кардерской терминологии — дропов) — как выяснилось позже, насчитывала несколько сотен человек.
Как это работает :
Большинству граждан, арестованных в ходе операции Trident Breach, от 20 до 25 лет, и все они, по сути, являются низшим звеном в структуре работы ботнета. Когда (и если) кража средств с очередного счета проходит успешно, деньги утекают отнюдь не прямиком в загребущие руки хозяев зомби-сети. Это было бы слишком просто, рискованно и примитивно. Здесь в игру и вступают "мулы", они же "дропы". В случае, о котором мы говорим сегодня, в этой роли в основном выступали... студенты из Молдавии, Украины, России, Белоруссии и Казахстана, находящиеся в США по визе J-1, то есть по программе Work&Travel. Для тех, кто не знает: W&T позволяет молодежи какое-то время с пользой жить на территории США, работая, общаясь с носителями языка и так далее. Одним словом, учебный и культурный обмен. Арестованным "студентам" такая программа поездки явно казалась скучноватой, раз они решили предложить себя кибермошенникам в качестве дропов.
Как это реализовано? Опять же, довольно просто. Вербуют таких "красавцев" обычно по Сети, например, через социальные сети (в нашем случае ФБР пока отказывается разглашать название социальной сети, где происходила вербовка). За работу им предлагают некий процент от обналиченных сумм, обычно в рамках 5-20% от перевода. Далее возможны варианты. Либо, въехав в США, "мулы" самостоятельно открывают поддельные банковские счета, на которые и уходят ворованные деньги. Либо же фэйковые счета дропу предоставляет сам работодатель: например, "мулу" просто присылают по почте пластиковую карту с PIN-кодом. Зачастую в деле также замешаны поддельные документы всех мастей. Далее задача "мула" элементарна — нужно снимать наличность и передавать ее своим "хозяевам".
За примерами этих схем не нужно ходить далеко. В ходе операции Trident Breach ФБР внедрило одного из своих агентов в мошенническую сеть именно в качестве дропа. Через российскую социальную сеть (все общение происходило на русском) агент нашел "работодателя", скрывавшегося под ником Jack Daniels. Jack Daniels, который впоследствии оказался 26-летним гражданином РФ Антоном Юферицыным, предложил следующую "работу": требовалось открыть в США несколько банковских счетов, получать на них переводы и обналичивать деньги. Под пристальным наблюдением ФБР все было выполнено, да так хорошо, что замаскированный агент даже сумел лично встретиться с Юферицыным. "Работодатель" вдруг решил воочию обсудить со "студентом" перспективу открытия бизнес-счета, на которой можно было бы переводить больше денег. Очевидно, в ходе этой первой встречи Jack Daniels ничего не заподозрил, так как вскоре на счет подставного "мула" поступил первый перевод в размере $9983. Через несколько дней Jack Daniels назначил агенту повторную встречу, на этот раз уже непосредственно для передачи денег. В ходе этого действа Юферицын и был благополучно арестован.
Ему предъявили обвинение в сговоре с целью мошенничества, свою вину Jack Daniels признал и даже дал показания против других участников группировки. Но самое интересное в том, что на данный момент Антону Юферицыну уже вынесен приговор, и он оказался удивительно мягок: 10 месяцев тюрьмы и $38 314 штрафа. Дело в том, что обвинение до последнего настаивало на максимальном наказании в 20 лет лишения свободы и штрафе в $500 000. Можно предположить, что Юферицына либо поймали существенно раньше, чем было объявлено официально, либо же он очень рьяно сотрудничал после ареста .
Как уже было сказано выше, большинство арестованных занимали отнюдь не ключевые посты в преступной группировке. Большинство из тех, кому предъявили обвинения или арестовали — простые дропы. Только в США было арестовано 39 человек, а в целом обвинения предъявлены 92 людям! В пресс-релизах, выпущенных по этому поводу Федеральным бюро расследований, подробно рассказано практически о каждом конкретном случае. К примеру, сообщается, что гражданин РФ Максим Мирошниченко вербовал дропов, сам открыл как минимум пять поддельных счетов в банках TD Bank, Chase Bank, Bank of America и Wachovia, а также пользовался поддельными паспортами и имел контакты с хакерами и лицами, которые могли помочь оформить поддельные документы другим членам организации. Остальные случаи похожи, как две капли воды: это или "мулы", или вот такие, в общем-то, мелкие координаторы. Обвинения им были предъявлены самые разные — от сговора с целью совершения банковского мошенничества и просто банковского мошенничества до отмывания денег, подделки документов, использования поддельных документов и незаконного использования паспортов. Тюремные сроки и штрафы всем грозят крайне серьезные: от 10 до 30 лет и от $250 000 до $1 млн. соответственно. Впрочем, неизвестно, удастся ли обвинению настоять на своем, или получится как с Юферицыным.
Однако, помимо сотни дропов, пойманных американцами, еще 20 человек было арестовано в Великобритании (также было проведено восемь обысков) и еще пятеро в Украине. И если в Соединенном Королевстве ситуация почти аналогична американской, то с украинцами все несколько сложнее. Дело в том, что, согласно сообщениям ФБР и украинского СБУ, здесь, похоже, поймали самую верхушку группировки — организаторов всей вышеописанной схемы. Нет, разумеется, авторов злосчастного ZBot среди арестованных не было (хотя, по мнению многих экспертов и представителей спецслужб, малварь создан именно в странах Восточной Европы). Информации об этих пятерых вообще пока крайне мало, однако известно, что у ФБР есть основания полагать, что руководители ботнета контактировали с разработчиками ZeuS, которые делали им на заказ особые версии инструментария.
Все вышеизложенное, конечно, далеко не конец истории. В розыске до сих пор находится не один десяток человек, впереди наверняка не один обыск, арест, а также куча судебных разбирательств. Но, как бы то ни было, операция Trident Breach наглядно доказывает, что спецслужбы мира все же могут "найти подход" к ботнетам и умеют арестовывать не только "мулов", но и людей, стоящих в преступной иерархии повыше. И пусть мы с тобой понимаем, что эта сотня с небольшим человек — капля в море, а $70 млн. — жалкие крохи от исчезающих в неизвестных направлениях миллиардов, для спецслужб это все равно почти невиданный размах, да и в целом неплохая тенденция.
История о том, как спецслужбы ловят дропов, и не только.
Борьба с киберпреступностью в наши дни — уже далеко не миф, а суровая реальность. Прошли времена, когда спецслужбы не знали, с какого конца подступиться к Сети. Эта история представляет собой яркую иллюстрацию того, что спецслужбы многому научились и порой занимаются действительно полезными вещами.
Операция Trident Breach
В октябре месяце из пресс-релизов ФБР весь мир узнал о масштабной международной операции Trident Breach (дословно: "удар трезубцем"), в ходе которой в Великобритании, США и Украине были задержаны более ста человек, участвовавшие в деятельности крупного ZeuS-ботнета.
О троянце по имени ZeuS многие наверняка уже слышали; мы посвятили этому зловреду не одну статью и заметку. На всякий случай напомню, что ZeuS, также известный на просторах сети как Zbot, PRG, Wsnpoem, Gorhax и Kneber — это своего рода последний писк моды и популярнейший тренд в киберкриминальной среде. Данный инструментарий пользуется на черном рынке огромным спросом, регулярно обновляется, защищен от нелегального использования почище лицензионного софта и является настоящей головой болью для всех IT-безопасников планеты. Авторов этой софтины безуспешно ищут уже довольно долгое время. А когда не получается найти авторов и вырвать "корень зла", приходится бороться не с причиной, а со следствиями. Особенно когда следствия приобретают угрожающий размах.
Расследование, предвосхищавшее массовые аресты, началось в мае 2009 года. Тогда в ходе работы над делом о краже средств с 46 разных банковских счетов агенты ФБР из города Омаха, штат Небраска, нащупали "связующее звено" — они обнаружили отчетливые следы деятельности ZeuS-ботнета. Федеральное бюро расследований быстро сопоставило имеющиеся на руках факты и пришло к выводу, что масштаб бедствия велик. "Федералы" незамедлительно связались с местной полицией, своим аналогом Отдела "К" (то есть с парнями, которые занимаются именно расследованием киберпреступлений), другими американскими спецслужбами, а затем наладили контакт и со своими зарубежными коллегами из Украины, Великобритании и Нидерландов. Сразу скажем, что голландская полиция была привлечена к делу исключительно из-за того, что злоумышленники использовали некие компьютерные ресурсы Нидерландов.
Вскоре ситуация начала проясняться. Схема, которую использовали сетевые мошенники, оказалась проста, как три копейки. Основной мишенью этих чуваков являлись отнюдь не крупные банки и корпорации — они метили в небольшие организации, муниципальные предприятия, церкви, больницы, а также в редких частных лиц в основном на территории США. Заражение компьютеров жертв происходило практически дедовским методом: мошенники использовали целевые вредоносные e-mail-рассылки (письма несли "на борту" ссылки на ZeuS). Как только ничего не подозревающие граждане открывали такое письмо и проходили по линку, вирь вламывался в систему и делал там свое черное дело — собирал номера счетов, логины, пароли и прочие конфиденциальные данные, связанные с банковскими аккаунтами. Хозяева ботнета, заполучив эту информацию на руки, сумели добраться до огромного количества счетов. ФБР сообщает, что таким образом были осуществлены попытки кражи около $220 млн., но так как не все они были успешными, реально преступники (по предварительной оценке) сумели заполучить около $70 млн. Учти, что делалось все весьма аккуратно: ФБР утверждает, что преступники старались не снимать более нескольких тысяч долларов за раз.
Размах уже впечатляет, правда? Дальше — больше. Как уже было сказано выше, корни этой преступной группировки вели в Украину и другие страны Восточной Европы, а сеть так называемых "мулов" (от английского money mule — "денежный мул") — людей, которые переправляли краденые деньги владельцам ботнета (в кардерской терминологии — дропов) — как выяснилось позже, насчитывала несколько сотен человек.
Как это работает :
Большинству граждан, арестованных в ходе операции Trident Breach, от 20 до 25 лет, и все они, по сути, являются низшим звеном в структуре работы ботнета. Когда (и если) кража средств с очередного счета проходит успешно, деньги утекают отнюдь не прямиком в загребущие руки хозяев зомби-сети. Это было бы слишком просто, рискованно и примитивно. Здесь в игру и вступают "мулы", они же "дропы". В случае, о котором мы говорим сегодня, в этой роли в основном выступали... студенты из Молдавии, Украины, России, Белоруссии и Казахстана, находящиеся в США по визе J-1, то есть по программе Work&Travel. Для тех, кто не знает: W&T позволяет молодежи какое-то время с пользой жить на территории США, работая, общаясь с носителями языка и так далее. Одним словом, учебный и культурный обмен. Арестованным "студентам" такая программа поездки явно казалась скучноватой, раз они решили предложить себя кибермошенникам в качестве дропов.
Как это реализовано? Опять же, довольно просто. Вербуют таких "красавцев" обычно по Сети, например, через социальные сети (в нашем случае ФБР пока отказывается разглашать название социальной сети, где происходила вербовка). За работу им предлагают некий процент от обналиченных сумм, обычно в рамках 5-20% от перевода. Далее возможны варианты. Либо, въехав в США, "мулы" самостоятельно открывают поддельные банковские счета, на которые и уходят ворованные деньги. Либо же фэйковые счета дропу предоставляет сам работодатель: например, "мулу" просто присылают по почте пластиковую карту с PIN-кодом. Зачастую в деле также замешаны поддельные документы всех мастей. Далее задача "мула" элементарна — нужно снимать наличность и передавать ее своим "хозяевам".
За примерами этих схем не нужно ходить далеко. В ходе операции Trident Breach ФБР внедрило одного из своих агентов в мошенническую сеть именно в качестве дропа. Через российскую социальную сеть (все общение происходило на русском) агент нашел "работодателя", скрывавшегося под ником Jack Daniels. Jack Daniels, который впоследствии оказался 26-летним гражданином РФ Антоном Юферицыным, предложил следующую "работу": требовалось открыть в США несколько банковских счетов, получать на них переводы и обналичивать деньги. Под пристальным наблюдением ФБР все было выполнено, да так хорошо, что замаскированный агент даже сумел лично встретиться с Юферицыным. "Работодатель" вдруг решил воочию обсудить со "студентом" перспективу открытия бизнес-счета, на которой можно было бы переводить больше денег. Очевидно, в ходе этой первой встречи Jack Daniels ничего не заподозрил, так как вскоре на счет подставного "мула" поступил первый перевод в размере $9983. Через несколько дней Jack Daniels назначил агенту повторную встречу, на этот раз уже непосредственно для передачи денег. В ходе этого действа Юферицын и был благополучно арестован.
Ему предъявили обвинение в сговоре с целью мошенничества, свою вину Jack Daniels признал и даже дал показания против других участников группировки. Но самое интересное в том, что на данный момент Антону Юферицыну уже вынесен приговор, и он оказался удивительно мягок: 10 месяцев тюрьмы и $38 314 штрафа. Дело в том, что обвинение до последнего настаивало на максимальном наказании в 20 лет лишения свободы и штрафе в $500 000. Можно предположить, что Юферицына либо поймали существенно раньше, чем было объявлено официально, либо же он очень рьяно сотрудничал после ареста .
Как уже было сказано выше, большинство арестованных занимали отнюдь не ключевые посты в преступной группировке. Большинство из тех, кому предъявили обвинения или арестовали — простые дропы. Только в США было арестовано 39 человек, а в целом обвинения предъявлены 92 людям! В пресс-релизах, выпущенных по этому поводу Федеральным бюро расследований, подробно рассказано практически о каждом конкретном случае. К примеру, сообщается, что гражданин РФ Максим Мирошниченко вербовал дропов, сам открыл как минимум пять поддельных счетов в банках TD Bank, Chase Bank, Bank of America и Wachovia, а также пользовался поддельными паспортами и имел контакты с хакерами и лицами, которые могли помочь оформить поддельные документы другим членам организации. Остальные случаи похожи, как две капли воды: это или "мулы", или вот такие, в общем-то, мелкие координаторы. Обвинения им были предъявлены самые разные — от сговора с целью совершения банковского мошенничества и просто банковского мошенничества до отмывания денег, подделки документов, использования поддельных документов и незаконного использования паспортов. Тюремные сроки и штрафы всем грозят крайне серьезные: от 10 до 30 лет и от $250 000 до $1 млн. соответственно. Впрочем, неизвестно, удастся ли обвинению настоять на своем, или получится как с Юферицыным.
Однако, помимо сотни дропов, пойманных американцами, еще 20 человек было арестовано в Великобритании (также было проведено восемь обысков) и еще пятеро в Украине. И если в Соединенном Королевстве ситуация почти аналогична американской, то с украинцами все несколько сложнее. Дело в том, что, согласно сообщениям ФБР и украинского СБУ, здесь, похоже, поймали самую верхушку группировки — организаторов всей вышеописанной схемы. Нет, разумеется, авторов злосчастного ZBot среди арестованных не было (хотя, по мнению многих экспертов и представителей спецслужб, малварь создан именно в странах Восточной Европы). Информации об этих пятерых вообще пока крайне мало, однако известно, что у ФБР есть основания полагать, что руководители ботнета контактировали с разработчиками ZeuS, которые делали им на заказ особые версии инструментария.
Все вышеизложенное, конечно, далеко не конец истории. В розыске до сих пор находится не один десяток человек, впереди наверняка не один обыск, арест, а также куча судебных разбирательств. Но, как бы то ни было, операция Trident Breach наглядно доказывает, что спецслужбы мира все же могут "найти подход" к ботнетам и умеют арестовывать не только "мулов", но и людей, стоящих в преступной иерархии повыше. И пусть мы с тобой понимаем, что эта сотня с небольшим человек — капля в море, а $70 млн. — жалкие крохи от исчезающих в неизвестных направлениях миллиардов, для спецслужб это все равно почти невиданный размах, да и в целом неплохая тенденция.