В США рассекречен один из самых известных русских хакеров
Он годами терроризировал Америку и жил в российской глубинке
Журналисты авторитетного американского издания Wired, заручившись помощью многих видных экспертов по информационной безопасности, полтора года изучали крупную утечку данных из недр хакерской группировки Trickbot, которую на Западе традиционно ассоциируют с Россией и даже напрямую с Кремлем. В результате расследования они назвали имя лидера киберпреступников. Им, как утверждает издание, стал 41-летней Максим Галочкин из Абакана, который якобы скрывается под ником Bentley.
Максим Галочкин, по данным Wired, предполагаемый лидер хакерской группировки Trickbot
Разоблачение стало возможным из-за крупной утечки
Расследование Wired началось в марте 2022 года, вскоре после того, как некто под ником Trickleaks опубликовал в социальной сети Twitter (сейчас — X) переписки нескольких десятков членов Trickbot из внутренних онлайн-чатов защищенных мессенджеров. Всего в них оказалось около четверти миллиона сообщений, а также самодельные досье на хакеров. В них были указаны их реальные имена, фотографии, учётные записи в социальных сетях, номера паспортов, телефоны, города или даже точные адреса проживания.
Кроме того, в записях содержались 2,5 тысячи IP-адресов членов группировки и принадлежащие им 500 криптовалютных кошельков. Число хакеров, входящих в Trickbot, оценили в диапазоне от 100 до 400 человек. «С учетом того количества информации, У мен
я большие планы. Я хочу быть богатым, хк которой был получен доступ, за утечкой стоит либо кто-то, кто достаточно хорошо внедрился в группировку, либо исследователь, нашедший способ проникнуть в инфраструктуру Trickbot», — предполовоенной операции. Как вычислили хакера? Идентифицировать хакера Wired удалось благодаря тому, что в ролике на одном из YouTube-каналов, посвященном криптовалютам, его автор показал залогиненный аккаунт в защищенном мессенджере Jabber. Именно эти логин и аккаунт за несколько лет до этого фигурировали в слитых переписках Bentley. Таким образом, поняв, что глава Trickbot и является автором ролика, исследователи начали анализировать данные этой учётной записи YouTube. В частности, они изучили, кем, когда и в каких аккаунжил аналитик по к
yjax Джо Риден.Enter Утечку Trickleaks заметили специалисты в области информационной безопасности и силовые структуры западных стран. Но в России инцидент в целом прошел незамеченным во многом из-за начавшейся за несколько недель до слива специальной очу стать миллионером. Получив много де
нег, я получу все, к чему стремилсятах использовались похожие логины или даже пароли. Эта сложная цепочка вывела экспертов на Галочкина, жителя российского Абакана, который ранее носил имя Максим Сипкин.Enter 100-400 человек могут входить в Trickbot Enter С этими выводами согласились независимые эксует на склоне горы, одетый в джинсы и белую футболку, с походным рюкзаком за плечами. Хакер симпатизировал оппозиции и рассказал жене о своей работе Несмотря на общепринятые среди киберпреступников принципы взаимоотношений с коллегами по ремеслу, хакер часто раскрывал в переписках личную информацию, пишет Wired. В частности, он рассказывал, что имел некоторые сложности в отношениях с женой, когда рассказал ей, чем именно он занимается. Я сказал ей, что мы трахаем высокомерных придурков из американских корпораций. Самое главное, что мы не преследуем обычных работяг и бедняков Максим Галочкин по данным Wired, предполагаемый лидер хакерской группировки Trickbot Enter До смены фамилии россиянин, по данным Nisos, сочувствовал оппозиционному российскому движению «Солидарность». Утверждается, что он «был избран в политсовет регионального отделения движения и говорил о проблемах коррупции и цензуры в России, призывая к возвращению к демократии и расследованию деятельности чиновников».Enter При этом в Wired полагают, что в слитых переписках имеются некоторые отсылки к тому, что у Trickbot есть связи если не с Кремлем напрямую, то как минимум с отдельными сотрудниками силовых структур. Например, когда в 2021 году нескольких предполагаемых членов группировки судили в США, один из высокопоставленных сотрудников Trickbot написал, что в ФСБ к обвиняемым относятся нейтрально или даже положительно, а «у шефа [хакеров] есть нужные связи».Enter В целом подобные заявления крайне характерны дляперты с весьма громкими именами в западном мире информационной безопасности. В частно
сти, президент Hold Security Алекс Холден, который посвятил рас
следованиям в отношении членов Trickbot несколько лет жизни, а также гендиректор Cybernite Intelligence Радое Васович и главный исследователь компании Nisos Винцас Чижюнас.Enter Исследователям также удалось раздобыть фото хакера, которые он выкладывал на сайтах GitHub и Gravatar. Wired опис
ывает россиянина хорошо сложенным мужчиной с густыми темно-коричневыми бровями и темно-коричневой бородкой. По словам журналистов, у него длин
ные седые волосы фигурантов санкционного списка не давал комментариев российским СМИ. Однако один из них все же признался в беседе с Wired, что выполнял некоторые задачи по программированию на внештатной основе несколько лет назад, и они не показались ему противозаконными. Trickbot создала один из самых опасных банковских вирусов Группировка попала в поле зрения экспертов ещё в 2016 году, что делает её одним из самых долгоживущих киберпреступных объединений в России. Аналитики полагают, что либо Trickbot тесно связана с другим известным объединением хакеров — Conti, либо в них вообще входят одни и те же люди. Trickbot за эти годы удалось развернуть ботнет и связанный с ним банковский троянец, который крадет персональные данные и финансовую информацию. Его первая версия появилась ещё в 2014 году под названием Dyre. При этом виде атаки само зараженное устройство в дальнейшем также используется для атак на других жертв, зачастую — без ведома владельца Изначально вредонос обогащал своих создателей, воруя связки логинов и паролей от онлайн-банкинга и других финансовых приложений, в том числе криптокошельков. Эти сведения можно было как исполь, а на самом снимке он позир западной прессы, когда дело доходит до описания деятельности группировок, ассоциирующихся с Россией. Однако важно помнить, что Trickbot нацеливался в основном на финансовые корпорации и не выполнял в чьих-либо интересах задач, с
вязанных с разведкой.Enter На Западе уже называли имена чл
енов Trickbot, но Галочкина среди них не былоEnter В феврале 2023 года Министерство юстиции США объявило имена семи предполагаемых членов группировки и ввело против них санкции. В заявлении сказано, что все они — граждане России, постоянно проживающие в стране. Но Галочкина в этой сем
ерке не оказалось. Текст пресс-релиза в целом отвечал духу высказываний о России последнего времени.Enter «Киберпреступники, особенно базирующиеся в России, стремятся атаковать важнейшие инфраструктурные объекты, представителей американского бизнеса и международную финансовую систему, — сказал заместитель министра финансов США по вопросам терро
ризма и финансовой разведки Брайан Нельсон. — Соединенные Штаты в партнёрстве с Великобританией предпринимают в связи с этим определенные меры, так как мы верим, что международное сотрудничествзовать самостоятельно, так и продавать в даркнете. Со временем троян стал более сложным: попадая в сеть, он открывал дорогу к заражению корпоративных систем другими вирусами. Среди них встречались и программы-вымогатели, благодаря которым киберпреступники шифровали или блокировали данные жертв и требовали выкуп за расшифровку. При этом поддавшиеся на шантаж компании, как правило, не раскрывают сведений об этом. Аналитики «Лаборатории Касперского» полагают, что основная цель ботнета сейчас — проникновение и распространение в локальных сетях. Они отмечают, что после этого «операторы могут использовать его для решения множества ро является ключом к борьбе с российской киберпреступностью».Enter В пресс-релизе также утверждается, что «Россия стала убежищем для киберпреступников», где никто не мешает хакерам из различных группировок совершать бесконечные атаки на США, Великобританию и их партнёров. В частности, русских хакеров обвиняют в атаках на критическую инфраструктуру, а также госпитали и другие медицинские учреждения. Стоит отметит
ь, что представители крупных группировок на различных площадках и в разное время отрицали, что нацелены на социальные объекты.Enter Что касается семерых россиян, упомянутых в документе, то один из них — Виталий Ковалев, азных задач — от предоставления захваченной площадки сторонним злоумышленникам до кражи конфиденциальных данных». В США утверждают, что Trickbot атаковал объекты гражданской инфраструктуры (в первую очередь — медицинские учреждения) в 2020 году и тогда же якобы начал выполняякобы состоящий в числе лидеров Trickbot, — называется там носителем ника Bentley. Журналисты Wired не считают, ч
то Минюст ошибся в расследовании, и объясняют одинаковые ники Ковалева и Галочкина простым совпадением.Enter Сам Ковалев, как утверждает авторитетный западный ИБ-ть задачи в интересах Кремля. Что любопытно, незадолго до этого в Microsoft заявили, что 90 процентов инфраструктуры группировки уничтожены. В ответ на это члены Trickbot в последующие полтора года заразили более 140 тысяч устройств, среди которых были компьютеры клиентов и сотрудников Microsoft, Amazon, PayPal, Bank of America, Wells Fargo, American Express и других крупных корпораций.
Источник: http://businessinblogs.com/component/k2/item/74264
журналист Брайан Кребс, ещё в середине прошлого десятилетия пытался снять в России фильм «Ботнет», посвященный хакерской группировке. В одной из ролей он якобы планировал задействовать российскую студентку, которая работала дропом, попалась американским силовикам, но потом пошла на сделку со следствием.Enter Ни один из семи