Одиночка против корпорации зла

Нихау, бегущие в тенях! Привет, случайный подписчик.

Хакерскую группировку Evil Corp называют самой вредоносной и самой наглой среди киберпреступников. За сведения о ее членах американское правительство назначило награду в 5 миллионов долларов, а СМИ обсуждают слухи об их роскошном образе жизни и возможных связях с российскими спецслужбами. Мы постарались поподробнее разобраться в истории этой хакерской группы, образе действий и инструментах, с помощью которых она достигла своих сомнительных успехов и признания.

Поехали:

Главой Evil Corp называют Максима Якубца. Правоохранительные органы разных стран разыскивают его вот уже более десяти лет — еще в 2009 году он привлек к себе внимание, участвуя под ником aqua в краже денег из казны округа Буллитт, штат Кентукки. Об этом преступлении писали в газете Washington Post, с которой тогда сотрудничал в качестве эксперта по кибербезопасности Брайан Кребс.

Скриншот из архива Брайана Кребса с форума DirectConnections, на котором aqua в 2011 году делился опытом

Криминальный зоопарк: денежные мулы и козлы отпущения.

Уже тогда у хакеров была отработанная схема действий, в которой Максим Якубец отвечал за работу с «денежными мулами». Так называют людей, которые выводят деньги из банковской системы (где все переводы отслеживаются и могут быть отозваны), совершая необратимые транзакции. Традиционно для мошеннических схем использовалась система Western Union, но в последнее время набирает популярность криптовалюта Bitcoin.

Любопытный факт

Western Union фигурирует в качестве посредника в огромном числе историй с отмыванием денег, мошенничеством и даже финансированием терроризма. Иногда они платят штрафы — американскому правительству полмиллиарда долларов, ирландскому — полтора миллиона евро. Платят и продолжают работать, не обращая внимания на обвинения в «недостаточно тщательном отслеживании подозрительных транзакций». Почему им это сходит с рук? Никто не знает наверняка, но, возможно, это как-то связано с их чрезвычайно длительным и плодотворным сотрудничеством с американским правительством. Western Union работала над оборонными заказами, которые имеют отношение к созданию систем связи и управлению ими. Такие дела.

Многие люди становятся «мулами», совершенно не представляя, чем они занимаются на самом деле и каковы могут быть последствия их действий. В «схеме Якубца» в «мулы» вербовали на абсолютно легальных сайтах с вакансиями, обещая работу из дома от имени небольших, но солидно выглядящих компаний. Более того, для проверки работоспособности и надежности кандидатов им давали предварительные задания — например, исправить опечатки и грамматику в текстах, обещая заплатить по 8 долларов за килобайт. Текстами же были деловые письма — от лица подставной компании хакеров в адрес ее подрядчиков. Так что, когда людям приходило письмо с заданием совершить денежный перевод, оставив себе 5% от суммы в качестве оплаты, они не удивлялись и выполняли такое задание.

Удивляться им, разумеется, приходилось потом, когда оказывалось, что теперь они должны всю сумму перевода какому-нибудь банку. Ведь банк всегда может отследить и отозвать ошибочные транзакции — и всегда найдет, с кого взыскать недостающее. Таким образом, финансовую ответственность за деятельность русских и украинских хакеров в итоге приходилось нести американским и европейским домохозяйкам и пенсионерам.

Новички и ветераны: след Зевса с Олимпа киберпреступности

В истории с казной округа Буллитт двадцатидвухлетний Максим Якубец был тесно связан с Евгением Богачёвым — уже тогда чрезвычайно известным хакером, автором трояна Zeus. За поимку этого персонажа ФБР назначило почти столь же впечатляющую награду, как и за Якубца.

Ни одна статья с упоминанием Евгения Богачева не может обойтись без этого фото с бенгальской кошкой и другими атрибутами роскошной жизни

Именно в связи с этим инцидентом о них и узнал Брайан Кребс. К тому моменту он уже давно был завсегдатаем открытых, полузакрытых и совсем закрытых хакерских форумов. Были у него и какие-то прямые источники, которые предоставляли ему информацию из переписки хакеров.

Откуда дровишки?

Разумеется, как Кребс, так и ФБР не раскрывают подробностей своих расследований и источники информации. Но на сайте Кребса приводятся множественные куски из логов Jabber-переписки хакеров, и эта же переписка цитируется в документах ФБР как важное свидетельство. Переписка, разумеется, велась на русском (который Кребс, кстати, изучает уже больше пятнадцати лет) — но что на сайте Кребса, что в официальных документах ФБР она дана в переводе на английский. И судя по всему, у Кребса и ФБР этот перевод одинаковый (максимально связные предложения и тщательно переведенные русские ругательства).

Что в переписке, что на форумах хакеры использовали одни и те же привычные никнеймы. Кребс утверждает, что такая небрежность в этих кругах встречается очень часто (что изрядно облегчает ему отслеживание «карьерного роста» интересующих его игроков на арене киберпреступности). Богачев был lucky12345 или slavik, а Якубец — aqua.

Zeus

Zeus — многокомпонентный банковский трой, насчитывающий множество модификаций. Основная функция заключается в краже паролей от банковских приложений, FTP-клиентов, других программ. Троян может выполнять поступающие с управляющего сервера команды, перехватывать вводимые пользователем в браузерах данные (кейлоггинг и формграббинг), красть файлы cookies, устанавливать в системе цифровые сертификаты и удалять их, блокировать доступ к заданным киберпреступниками интернет-ресурсам, подменять стартовую страницу в браузерах, загружать и запускать программы, а также удалять файлы на жестком диске.

Хакеры не просто обсуждали покупку у Богачева «базовой версии» его трояна Zeus — они заказали ему модифицированную версию, Jabber Zeus, которая пересылала похищенную банковскую информацию по протоколу Jabber. Это позволяло злоумышленникам крайне оперативно планировать свои действия и управлять своей широко раскинутой сетью троянов — например, они могли получать Jabber-сообщения о том, что какая-то из их потенциальных жертв пополнила свой банковский счет.

На форуме Mazafaka обсуждают применение стандартной версии Zeus, которой Богачев широко торговал

Якубец очень гордился сотрудничеством с Богачевым и их оригинальной идеей, в сравнении с которой все остальные пользователи Zeus выглядели новичками. Но пресс-релиз ФБР сообщает крайне интересные подробности расследования, из которых следует, что именно использование Jabber-протокола и подвело хакерскую группу, а для Максима Якубца, возможно, именно это событие сыграло важную роль в его судьбе.

Jabber-болтун — находка для шпиона

Следи за руками: сейчас мы расскажем, как расследуют киберпреступления! А также ты узнаешь, как множество мелких недочетов складываются в большие проблемы.

Итак, новая версия трояна пересылает различную банковскую информацию (логины, одноразовые пароли, PIN-коды, журналы кейлоггеров) по протоколу Jabber. Этот протокол — децентрализованный, любой человек может поднять свой собственный сервер. Анализ зараженных компьютеров показал, что все они отправляют сообщения на один сервер на домене incomeet.com.

Дальше ФБР выяснило, что этот домен хостится на сервере, принадлежащем обычной компании-хостеру. И что офис этой компании располагается в Нью-Йорке. После чего, разумеется, им не составило труда изъять сервер и хорошенько изучить его. На сервере осталось огромное число логов — и не только технических сообщений трояна, но и обычной переписки! Оказалось, что хакеры использовали свой Jabber-сервер в том числе и для координации действий, и для простой болтовни.

Конец немного предсказуем. В логах переписки нашлось и обсуждение той самой статьи Брайана Кребса в Washington Post (то есть прямое признание в совершенных преступлениях), и никнеймы, которые хакеры использовали как в чате, так и на форумах.

Справедливости ради надо сказать, что хакеры стремились свести к минимуму обсуждение личной информации. Но следователи постарались и смогли найти зацепки. Лучшей их зацепкой стал эпизод, когда хакеры обсуждали альтернативные способы связи — и aqua (то есть Якубец) попросил скинуть ему номер телефона своего сообщника письмом на электронную почту. После чего сообщил адрес почты на mail.ru.

На дворе стоял июль 2009 года. Отношения между США и Российской Федерацией были сравнительно теплыми, практиковалось в том числе и сотрудничество правоохранительных органов. ФБР обратилось за помощью к российским коллегам — и получило ее.

Российские правоохранительные органы передали ФБР краткие, но весьма информативные сводки, из которых следует, что в компании Mail.ru активно с ними сотрудничали. Выяснилось, что на указанный адрес приходили как письма для хакера aqua (с предложением написать вирус), так и для человека по имени Максим Якубец — который покупал билеты в турагентстве и заказывал доставку детской коляски на определенный адрес в Москве.

После этого, разумеется, по установленному адресу последовал визит силовиков и обыск. Американским коллегам вежливо сообщили, что в данной квартире действительно был обнаружен некий Максим Якубец, а также женщина, личные данные которой тоже любезно передали в ФБР.

На этом список любезностей закончился. С американской стороны, впрочем, на этом работа не завершилась — они продолжили копать, чтобы собрать побольше убедительных доказательств. Потребовав сотрудничества от Microsoft, ФБР отыскало Skype-аккаунт, зарегистрированный на тот же email с Mail.ru и на имя Максим Я. В списке контактов этого аккаунта обнаружилась женщина, в которой смогли установить ту самую особу, присутствовавшую в квартире во время обыска.

Эта же самая женщина несколько раз подавала заявление на получение американской визы. Судя по всему, ее въезду в страну не препятствовали, но скрупулезно вели досье, обращая внимание на изменение брачного статуса с замужней на разведенную, на смену фамилии и на отчество ребенка, которого она в 2012 году везла с собой в США. Многочисленные детали, включая домашний адрес ребенка и совпадение даты его рождения с сообщением из чата хакеров, в котором aqua хвастался, что стал отцом, позволили ФБР удостовериться, что речь идет о первой жене и ребенке Якубца.

Вот только никакого практического смысла в этом не было. Якубец (как и Богачев и многие другие разыскиваемые хакеры) за границу России выезжать не собирался. А Россия не собиралась его выдавать.

Если слухи о том, что талантливым хакерам в России рано или поздно делают «предложение, от которого невозможно отказаться», верны, то можно предположить, что визит силовиков и обыск в квартире изменил жизнь Максима Якубца только к лучшему.

Dridex

Dridex — многокомпонентный банковский бот, имеющий множество версий. Архитектура троя подразумевает наличие набора модулей, каждый из которых несет свою функциональную нагрузку. Для связи с управляющим сервером большинство редакций Dridex использует P2P-протокол, ботнет децентрализованный и одноранговый, что затрудняет вмешательство в его работу и перехват управления. Данные, которыми бот обменивается с управляющим сервером, шифруются.

В процессе работы Dridex встраивается в проводник или процессы браузеров и далее выполняется в контексте этих приложений. По команде злоумышленников трой может устраивать веб-инжекты, перехватывать вводимые пользователем данные (кейлоггинг и формграббинг), красть пароли, выполнять поступающие команды и похищать конфиденциальную информацию на зараженной машине.

К 2011 году Якубец собрал свою собственную хакерскую группировку, построенную вокруг нового трояна Dridex (также известного как Bugat и Cridex). ФБР считает, что именно Якубец был разработчиком и главным распространителем трояна, а также координатором сети денежных мулов. Дела у них шли, разумеется, не всегда ровно — но в обвинительном заключении ФБР указываются разовые хищения сумм в миллион долларов и больше.

Главные лица Evil Corp — Игорь Турашев и Максим Якубец

Эти деньги Якубец и его сообщники тратили на дорогие машины и прочие предметы роскоши, прожигая жизнь в стиле миллионеров-плейбоев. Подобный образ жизни позволил Якубцу войти в узкий круг московской «золотой молодежи», где он встретил свою вторую жену — Алену Бендерскую. С ней он отдыхал на самом дорогом курорте Крыма и в 2017 году сыграл свадьбу.

Алена Бендерская, жена Максима Якубца

Но, помимо счастья в личной жизни, новый брак принес с собой и чрезвычайно полезные связи. Не то чтобы у Якубца их совсем не было — судя по всему, в его группировке Evil Corp состоял сын бывшего мэра Химок Владимира Стрельченко.

Однако женитьба на Алене Бендерской сделала Якубца родственником еще более влиятельного человека по имени Эдуард Бендерский, бывшего спецназовца ФСБ и президента благотворительного фонда бывших силовиков «Вымпел». По сведениям американцев, в год свадьбы Якубец уже совершенно точно сотрудничал с ФСБ, а в 2018 году получил лицензию на работу со сведениями, составляющими государственную тайну.

Кадр из свадебного видео Максима и Алены — жениха все время снимают, не показывая лица, а само видео пытались вычистить из Сети — но не преуспели

WWW

Если тебе интересно более подробно узнать о связях хакеров из Evil Corp с разными влиятельными людьми и о том, кто эти люди и чем они занимаются, то в русскоязычной прессе есть несколько расследований на эту тему. Начать можно с материала «Медузы». Подробнее почитать об Эдуарде Бендерском, его семье и репутации крайне авторитетного охотника можно здесь.

И вот еще подборка материалов о связях этих людей с организованной преступностью: 1, 2, 3, 4.

Успехи одинокого стрелка

Расследование ФБР, связи с российскими силовиками, миллионы украденных долларов — все это чрезвычайно масштабные истории, затрагивающие множество людей. Но история эксперта-одиночки Брайана Кребса стоит особняком, потому что ему удалось сделать кое-что, с чем ФБР не справилось.

Его таинственные источники дали ему информацию о деталях схемы по работе с денежными мулами, которую использовал Якубец. Чтобы выводить деньги из США, нужно было достаточное количество «мулов» и возможность оперативно с ними связываться, выдавать им указания и получать от них их личные и банковские данные. И так как многие «мулы» были людьми с невысоким уровнем компьютерной грамотности, этот способ связи должен быть достаточно простым в использовании.

Решением Якубца стало создание системы сайтов, напоминавших корпоративные порталы управления персоналом — с профилями сотрудников и рассылкой сообщений, выглядевших настолько убедительно, чтобы люди искренне верили, что работают на легальный, профессиональный бизнес.

Общий вид сайта для работы с «мулами»

Однако во всей этой системе был один изъян. Любой человек, получивший ссылку на сайт, мог на нем зарегистрироваться — и более того, просто меняя номер сообщения в адресной строке, пользователь сайта получал возможность читать сообщения, предназначенные для других пользователей!

Форма входа на один из таких сайтов

И Брайан Кребс несколько лет подряд именно этим и занимался. Каждое утро он заваривал себе кофе и садился читать переписку за последние сутки, в которой «денежным мулам» писали: «Доброе утро, %username! Сегодня наш клиент переведет вам деньги, после перевода снимите их наличными в своем банке и перешлите нам».

Личные сообщения для мулов

Разумеется, «клиентами» были очередные жертвы — в основном представители малого бизнеса с плохо налаженной кибербезопасностью. Но Брайан Кребс оказывался последним рубежом их обороны. Он гуглил по названию компании из хакерских писем, находил их телефон и сообщал, что фирму прямо сейчас грабят русские хакеры.

«Вы, скорее всего, меня не знаете, но вот вам мой сайт с информацией о том, кто я и что я делаю. Ваши зарплатные счета взломали, и вы можете потерять существенную сумму денег. Вам стоит немедленно позвонить в ваш банк и заморозить любые переводы в процессе оформления, пока еще не слишком поздно. Потом вы можете позвонить мне и расспросить меня о том, как я все это узнал, — но сейчас, пожалуйста, позвоните в ваш банк», — писал пострадавшим Брайан.

Таким образом порой Брайану Кребсу удавалось предотвратить преступление прямо во время его совершения и избавить небольшие фирмы от серьезных проблем. Но порой, разумеется, ему не верили — и Брайану приходилось беседовать с полицейскими или агентами ФБР. Впрочем, разговор с правоохранительными органами у него обычно получался коротким: он независимый исследователь, обвинить его не в чем, а полиции он не боится, даже может прочитать простому полицейскому лекцию о киберпреступности или привлечь внимание ФБР к серии преступлений, которые иначе агентство еще долго не замечало бы из-за малого масштаба жертв.

Частенько Брайану уже приходилось вступать в напряженные беседы с представителями власти или корпораций, когда те просили его задержать выход очередного расследования или и вовсе не публиковать его в интересах следствия или бизнеса. Но Кребс в своем онлайн-интервью на Reddit утверждает, что правоохранительные органы ограничивались лишь вежливыми просьбами, в исполнении которых он не видел для себя никакой выгоды. А с корпорациями он и вовсе не намерен сотрудничать. Примером твердости его убеждений может служить история с сайтом знакомств Ashley Madison, представители которого сначала обещали ему денег за молчание, а после выхода статьи — грозили судом.

Так что Брайан Кребс не останавливается в своих расследованиях, хоть и прекрасно знает, что хакеры тоже читают его блог, обсуждают его статьи, радуются разрыву контракта с Washington Post и даже пытаются подбросить ему наркотики через интернет. Известность — дело непростое: Кребс пишет, что однажды он захотел зарегистрироваться на очередном хакерском форуме под своим настоящим именем, но админ принял его никнейм за шутку. А на другом форуме такой никнейм уже был занят каким-то крупным спецом по воровству номеров кредиток.

Можно было бы предположить, что своими публикациями Кребс осложняет жизнь в первую очередь самому себе. Но практика показывает, что это не так. Публикации в американском блоге могут заставить хакеров поволноваться или возгордиться, но, скорее всего, не изменят их образа действий. В крайнем случае они попробуют сменить никнейм на форуме — но за ними все равно останется хвост из их старых постов, следов прошлых подвигов и характерный почерк. Все эти материалы Кребс тщательно собирает в свой архив, с помощью которого он и проводит столь впечатляющие расследования.

Но в конечном счете, пока между США и Российской Федерацией нет соглашений о сотрудничестве правоохранительных органов и экстрадиции преступников, хакерам мало что угрожает, пока они не покидают границ России.

Кребс много пишет о том, что с киберпреступностью нужно бороться в первую очередь за счет разумных практик кибербезопасности и широкого распространения информации. Что в современном мире в «денежные мулы» могут завербовать двенадцатилетнего ребенка и семидесятилетнюю пенсионерку — если кто-то не объяснит им, что бесплатный сыр бывает только в мышеловке.

Вместо послесловия

Из этих захватывающих историй следуют довольно банальные выводы. Внимательность и наблюдательность — как в случае с Брайаном Кребсом, годами собирающим свои архивы и отслеживающим связи одних хакерских атак с другими, — вознаграждается, и сыщик-одиночка получает шанс предотвратить преступление, которое ФБР может лишь расследовать постфактум.

Беспечность же в вопросах безопасности вредит и бизнесменам, которые не доверяют сигналам тревоги «Вас грабят прямо сейчас!», и хакерам, смешивающим на одном сервере личную переписку с управляющими командами ботнета. Вредит она и простым людям, купившимся на обещания легких денег в интернете.

А насчет спецслужб, невест со связями и бенгальских кошек — делай выводы сам. Но старайся при этом соблюдать закон — пусть примером тебе будет слава не Максима Якубца, а Брайана Кребса.

На этом всё, тени. Помните, киберсталкеры, безопасность, сука, решает! Оставайтесь с нами, активнее подписывайтесь на наш канал, заходите в гости почаще и приглашайте друзей: https://t.me/joinchat/AAAAAEWEtm5wXT-zx05Y1w

Поддержать хактивизм и канал ShadowRun: 327J5WozmU3MTqfDoWvgDoo5NqvimyYCRS (BTC)

M89UUZaZuXVsGD7LRgFKMDoUM8gd6uTJ3e (LTC)

0x8f08DaC4d273fC6968283aad70a6677dD9f57642 (ETH)

P64050430 (Rub Payeer)