Zeus

by @onehuman
Zeus

ФБР против Славика.

30 декабря 2016 года президент США Барак Обама ввёл санкции против ФСБ, ГРУ, несколько технологичных компаний и двух хакеров, среди которых был и Евгений Богачёв.

Сейчас мужчина скрывается, и о его деятельности ничего не известно, но еще несколько лет назад ФБР и лучшие ИТ-специалисты по кибербезопасности разыскивали этого человека по всему миру.

Богачёва считают создателем знаменитого вируса ZeuS, поработившего сотни тысяч компьютеров по всему миру, и основателем элитной хакерской группировки, укравшей более 100 миллионов долларов с банковских счетов. За его голову правительства США назначена награда в 3 миллиона долларов. .

Становление «Зевса»

Весной 2009 года специальный агент ФБР Джеймс Крейг (James Craig) приехал в бюро в Омахе, штате Небраска. Он был бывшим морпехом и зарекомендовал себя как хороший IT-специалист, поэтому его назначили следователем по делу о крупной краже средств через интернет. В мае 2009 года у дочерней организации американской компании Первые данные украли 450 тысяч долларов. Чуть позже у клиентов первого национального банка Омахи украли 100 тысяч долларов.

Крейга смутило, что в обоих случаях кражи провели с IP-адресов самих жертв при помощи их логинов и паролей. После проверки компьютеров агент ФБР обнаружил, что оба устройства заражены одним вирусом - трояном «Зевс».

С помощью специалистов по кибербезопасности Крейг выяснил, что этот вирус впервые появился в 2006 году. Однако существуют версии , что впервые ботнет разошелся в 2007 году. Так или иначе, Zeus приобрёл огромную популярность у хакеров, а специалистов по безопасности описывали «Зевса» как удобный, эффективный и универсальный технологический шедевр. Крейг попытался найти автора вируса, однако узнал лишь никнеймы хакера: Slavik и lucky12345

Продолжив расследование, Крейг изучил принцип работы «Зевса». Он заражал компьютер через поддельные электронные письма и фальшивые интернет-уведомления, которые при нажатии обманом загружали в систему заражённый файл. Как только «Зевс» попадал в компьютер, он крал логины, пароли и PIN-коды пользователя на сайтах, используя кейлоггер, то есть записывая распределения клавиш. Вирус может даже менять форму входа в систему, получая доступ к ответам на тайные вопросы вроде девичьей фамилии матери или номера страхования. После этого компьютер мог незаметно для пользователя рассылать спам, распространяя вирус дальше.

Когда вы входите на, казалось, защищённый сайт, «Зевс» скрытно модифицирует страницу до ее загрузки, узнает данные вашей учётной записи и выкачивает деньги со счёта.

До начала расследования Крейга Славик часто появлялся на хакерских форумах и продвигал свой вирус. Однако в 2010 году он назвал «уходом» и напоследок показал расширенную версию «Зевса» с возможностью привязать программу к своему владельцу. Запись программы Славик просил 10 тысяч долларов. Эти работы могли бы быть не хаки, но и автор «Зевса» больше не хотел мыслить мелко - у него были большие планы.

Ещё летом 2009 года вместе с доверенными хакерами Славик создал группировку элитных киберпреступников. Для оперативного общения он разработал модернизированную версию «Зевса» со встроенным мессенджером Jabber Zeus. Благодаря этой команде можно скрывать и оперативно общаться и координировать взломы банковских счетов. Новая тактика Славика предполагала, что главный упор будет сделан на кражу личных данных, имеющих доступ к финансовым системам.

Параллельно с этим Крейг проводил расследование, но, как он позже признался журналист Проводной, даже не подозревал о масштабах угрозы. И только когда десятки американских банков стали жаловаться на электронные кражи годичной выручки агент ФБР понял, что столкнулся с профессиональной хакерской группировкой.

Расследование спецслужб

В сентябре 2009 года Крейг вместе с несколькими ИТ-специалистами обнаружил в Нью-Йорке сервер, связанный с системой Jabber Zeus. Агент ФБР добился ордера на обыск и перезаписал трафик сервера на жёсткий диск. Когда инженерная служба хранит данные, он на несколько минут потерял дар речи. Оказалось, что Крейг заполучил хакерскую переписку по мессенджеру Jabber с адресами из России и Украины.

Следующие несколько месяцев инженер американской компании по кибербезопасности Mandiant и сотрудники ФБР расшифровывали переписку. Процесс затруднился из-за хакерского сленга, который пришлось анализировать американским лингвистам.

В расшифрованных данных хакеры обсуждали взломанные компании, и благодаря этому Крейг обзвонил руководство организаций. Он сообщил, что их деньги пропали из-за опасного компьютерного вируса. К этому моменту бухгалтеров несколько фирм уже уволили по подозрению в кражах.

Однако успешная расшифровка данных слабо продвинула дальнейшее расследование. Только под конец 2009 года Крейг выяснил, как хакерская группировка умудряется скрытно переводить огромные суммы денег.

Все началось с рассказа трёх уроженок Казахстана сотрудникам ФБР. Они якобы приехали в Нью-Йорк в поисках работы, и однажды неизвестный предложил им поучаствовать в странной схеме.Их привозили на машине к банку, после чего женщины открывали там счёт и сообщали сотрудникам, что приехали в страну на лето по учёбе.

Несколько дней спустя мужчина привозил женщин, и они снимали деньги, поступившие на счёт. За эту работу им платили небольшой процент, а остальное передавали рекрутеру. Когда об этой истории узнал Крейг, он понял - женщины использовали как «деньги мулов». Их работа заключается в передаче денег хакерской группировки Славик. Вскоре ФБР выяснили, что схема «мулов» работала в США, Румынии, Чехии, Великобритании, Украине и России.

По официальным подсчётам, к 2010 году хакеры украли от 70 до 80 миллионов долларов. Однако некоторые специалисты ФБР считают, что настоящая сумма гораздо больше.

Когда спецслужбы США попросили банки сообщать о людях, которые напоминают таких «мулов», агентм ФБР вскоре пришлось общаться с десятками людей. В основном это были студенты и иммигранты, снимающие со счетов по девяти тысячам, чтобы не привлекать внимания.

Летом 2010 года сотрудники службы арестовали двух уроженцев Молдавии, предлагающих работу «мулом». Параллельно с этим ФБР вместе с Минюстом определил, что трое лидеров хакерской группировки Славик скрываются на Украине в Донецке.

Осенью 2010 года ФБР договорилось с украинской службой безопасности (СБУ) о совместном рейде к одному из лидеров хакеров Ивану Клепикову. Когда спецагенты пришли в квартиру в старом советском доме и начали обыск, хакер спокойно наблюдал за взаимодействие. На кухне его жена держала на руках ребёнка и смеялась вместе с агентами СБУ. Крейг забрал больше 20 терабайтов информации с десятков жёстких дисков Клепикова и вернулся в США.

Параллельно с этим агенты арестовали 39 рекрутеров «мулов» в четырёх странах. Этого хватило, чтобы нарушить хакерскую систему отмывания денег. Однако Крейг разочаровался - ФБР нисколько не приблизились к поимке руководителя группировки Славик. Спецслужбы знали наверняка только одно: у него есть жена. После рейда спецслужб на Украине лидер хакеров и автор Jabber Zeus исчез, и Крейга перевели на другое расследование.

Новый вирус и провальная атака

В 2011 году небольшое сообщество по кибербезопаности заметило новую разновидность «Зевса» с модернизированной системой бот-нета. В первоначальных версиях вирусов заражённые компьютеры управляются через один командный центр, что делало всю систему уязвимой. Ведь если спецслужбы обнаружен этот сервис, они могут одним удалом отключить всю систему.

В новой версии «Зевса», ставшей известной как GameOver Зевс, заражённые компьютеры постоянно хранили и обновляли список других инфицированных. Это делалось на тот случай, если вирус на месте фиксирует попытку перехватить его связь с командным центром. В такой момент заражённый компьютер может переключиться на другой командный сервис и сбить с толку спецслужбы.

В ФБР предполагали, что GameOver Zeus использовала новую группировку хакеров «Бизнес-клуб», в которой Славик основал вместо рассеянной Jabber Zeus. Сначала GameOver крау банковские данные с помощью заражённой системы, затем выкачивал деньги и переводил на подконтрольные хакерам счета. Параллельно с этим вирус на компьютерах заблокировал доступ к банковскому сервису, чтобы не дать людям проверять свои банковские счета до тех пор, пока деньги окончательно не перейдут злоумышленникам.

Новая система работала отлично. В ноябре 2012 года «Бизнес-клуб» украл почти 7 миллионов долларов у американской компании. В ФБР больше не может захватить рекрутеров и прервать процесс поступления денег. Все «мулы» работали в городах дальневосточного Китая недалеко от Владивостока.

Сладник. Новейший взлом для банковских счетов. В октябре 2013 года группировка распространила в интернете вирус CryptoLocker,.

Скриншот с компьютера, заражённого CryptoLocker

В среднем за разблокировку хакеры требовали от 300 до 500 долларов. Деньги они принимали только в биткоинах, чтобы их не отследили спецслужбы. С помощью CryptoLocker хакеры считают монетизировать тысячи компьютеров, которые попали под действие вируса, но не содержали полезной информации. Эта идея не была новой, но именно шифровальщик «Бизнес-клуба» развил ее до международных масштабов.

В 2013 году американская компания по кибербезопасности Dell SecureWorks заявила, что около 250 тысяч компьютеров по всему миру может быть заражена CryptoLocker.

С 2011 по 2013 год специалисты по кибербезопасности три раза пробовали подорвать работу серверов «Бизнес-клуба» и вируса GameOverZeus. Однако каждый раз хакерская группировка легко отбивала атаки. Единственный результат таких действий стало то, что Славик укрепил защиту на случай новых нападений.

Это, вероятно, и стало причиной провала следующей атаки. Её спланировала свою небольшую команду профессиональных IT-специалистов, борющихся с вирусами. Один из экспертов группы был уроженец Германии Тильманн Вернер (Tillmann Werner) - работник компании CrowdStrike.

В феврале 2012 года IT-специалист полностью прервал работу вируса Kelihos, выросшего на рассылках спама с виагрой. Для Вернера это была большая победа, но он знал - Kelihos и близко не стоял с GameOver Зевс. Специалист видел, как легко Славик отбил атаки на свои серверы, и учёл этот опыт.

Почти год Вернер и команда европейских специалистов работа над планом по «штурму» серверов GameOver Зевс. Идея заключенная в том, чтобы централизовать весь трафик вируса, исходящий из заражённых компьютеров, а затем направить его на сервер, контролируемый группой Вернера. Таким образом они надеялись отследить источник заражения - компьютер Славик.

В январе 2013 года IT-специалисты атаковали серверы и быстро собрали в кучу 99% трафика инфицированных вирусом компьютеров. Однако оставшийся процент контролировал командный центр хакера, и все заражённые компьютеры были связаны с этим сервером. Через две недели Славик снова контролировал инфицированные компьютеры. План, который европейские специалисты готовили девять месяцев, провалился.

Финальное столкновение

За последние десять лет отдел ФБР в Питтсбурге приобрёл статус самого мощного государственного аппарата по борьбе с киберпреступностью. Главную роль в этом сыграл агент Кит Муларски (Keith Mularsky). Он устроился в ФБР в 1998 году, и следующие семь лет расследовал дела по шпионажу и терроризму. Муларски не разбирался в компьютерах, однако в 2005 году перешёл в молодой отдел по киберзащите в Питтсбурге

Кит Муларски в отделе ФБР. Фото AP

Следующие два года Муларски работал под прикрытием, втираясь в доверие к руководству киберпреступной группировки DarkMarket . Хакерская организация прославилась кражами и продажей личных данных и номеров кредитных карт, и долгие годы оставалась неуловимой для ФБР.

Благодаря Муларски, ставшим администратором DarkMarket, в 2008 году спецслужбы арестовали по связям с группировкой 60 человек. После этого незаконный сайт закрылся, а отдел по борьбе с интернет-преступностью получил крупное госфинансирование. Поэтому когда операция европейских IT-специалистов по борьбе со Славиком провалилась, они попросили помощи у Муларски.

Обычно ФБР отказывается сотрудничать с другими организациями, однако агентству нужна была помощь. Поэтому ведущий расследование Славик Муларски пригласил в команду европейских IT-специалистов, которые некогда штурмовали серверы «Зевса». Они знали принципы работы и, как решил Муларски, най помочь.

Объединённая команда по кибербезопасности составила вдумчивый план победы над Славиком и его вирусом. Для начала сотрудники ФБР должны были выяснить настоящее имя хакера, чтобы составить против него судебное дело. Затем европейские программисты вновь атаковали бы заражённые компьютеры и попробовали централизовать их трафик. Если бы это удалось, следователи получили ордеры на изъятий серверов. После этого специалисты планировали выпустить обновление, которое «вылечит» инфицированные компьютеры.

Сотрудники ФБР и программисты понимали, что если они допустят хотя бы одну ошибку, это поставит под каждую всю операцию.

В начале 2014 года, через месяц после запуска расследования, команда вышла на след Славик. Она отследила электронный адрес, на котором был зарегистрирован аккаунт хакера на сайте «Бизнес-клуба». Приобрести эту статью можно по электронной почте - Евгений Богачёв.

Следователи поняли, что 30-летний житель России из Анапы и есть тот хакер, который годами всухую обыгрывал международные спецслужбы и лучших киберспециалистов. На фотографиях Богачёв был с женой и дочерью, а позже программисты выяснили, что первую версию «Зевса» Богачёв написал ещё в 22 года.

Однако не определение настоящего имени Славик стала открытием. Через его почту спецслужбы отследили регулярный трафик по заражённым компьютерам. С их помощью Богачёв искал секретные данные грузинских, турецких и украинских спецслужб, а также собирал информацию об участии России в сирийской войне.

После раскрытия этой информации специалисты решили, что программист шпионит для российского правительства. Эта теория стала еще реальней, когда в марте 2014 года Крым вошёл в состав РФ. После этого частота запросов об украинских секретных данных с инфицированными компьютерами увеличилась.

На основе найденной информации команда ИТ-специалисты и ФБР построили теорию, что после анонса своего «ухода» в 2010 году Богачёв сформировал секретную хакерскую группировку. В какой-то момент на него вышли российские спецслужбы и предложили сделку: шпионить для Кремля в обмен на разрешение продолжить электронные кражи.

Собрав эту теорию воедино, ФБР запросила у судов ордеров для захвата серверов GameOver и «Бизнес-клуб». К этому времени европейские сотрудники системы «Зевса» не хуже, чем Богачёв.Они выяснили, что главные командные центры вируса расположены в Канаде и на Украине, и власти этих стран согласились временно отключить их на время операции.

30 мая 2014 года, спустя больше лет с начала расследования, спецслужбы Канады, США, Великобритании, Италии, Японии и других стран подготовились к штурму серверов Богачёва. Как только команда получила разрешение, канадские и украинские спецслужбы отключили командные серверы вируса внутри стран, а затем специалисты начали перекачивать трафик заражённых компьютеров на свои серверы. Параллельно программисты блокировали доступ хакерской группировки к сайту «Бизнес-клуба», чтобы помешать скоординировать оборону.

За несколько часов усиленная работа инженеров для устранения вирусов, заратившего полмиллиона устройств. Однако с каждым следующим часом специалисты захватывают всё больше заражённых компьютеров.

В это же время инженеры фиксировали активность с IP-адреса Богачёва, пытающегося стабилизировать ситуацию. Он видел, что атаку координировали профессионалы, и не собирался сдаваться. Команда предугадала действия хакера и отключила турецкий прокси-сервер, с которого он работал. К этому моментум продолжалась уже больше десяти часов, и собравшиеся сотрудники ФБР вместе с программистами нервно наблюдали за технологичным столкновением.

Через 60 часов после начала операций участников объявили о победе. Командные центры Богачёва не работали, а основная часть заражённых компьютеров контролировалась через серверы спецслужб. Следующие несколько недель Богачёв пробовал вернуть контроль над трафиком, но спецслужбы отбили атаки. Через год после поражения российского хакера в США почти полностью прекратились тайные перехваты аккаунты по принципу «Зевса».

Долгие годы анализы предполагают, что за этой вирусной схемой стоят десятки группировок, но на самом деле это занималась лишь небольшая команда профессиональных хакеров.

В 2015 году власти США объявили награду в 3 миллиона долларов за информацию, которая поможет задержать Богачёва. Это самая большая премия за поимку киберпреступника в американской истории.

По данным правительственных источников издания Wired, власти США не считают, что Богачёв по заказу российской стороны участвовал во взломе данных, связанных с выборами в США. Источник заявил, что администрация Барака Обамы включила Богачёва в санкционный список для давления на российское правительство: якобы Кремль может передать хакера американским властям в качестве жеста примирения.

По данным спецслужб США, за всё время работы «Зевса» его автор украл как минимум 100 миллионов долларов. Команда ФБР из Питтсбурга продолжает розыск хакера и получает наводки о возможном местонахождении Богачёва. Однако пока неизвестно, что планирует делать сам российский хакер.

November 6, 2018
by @onehuman