окончание игры ZeuS
окончание игры ZeuS | |
---|---|
ФБР Диаграмма с обзором ГОЗ, подготовленная | |
Классификация | Троян |
Семья | Зевс |
Авторы | Evgeniy Bogachev |
GameOver ZeuS ( GOZ ), также известный как одноранговый ( P2P ) ZeuS , ZeuS3 и GoZeus , — это троянский конь, разработанный российским киберпреступником Евгением Богачевым. Созданная в 2011 году в качестве преемника Jabber Zeus , еще одного проекта Богачева, вредоносная программа печально известна тем, что использовалась для банковского мошенничества, в результате чего был нанесен ущерб примерно в 100 миллионов долларов, а также являлась основным средством, с помощью которого была проведена атака программы-вымогателя CryptoLocker , в результате которой были потеряны миллионы долларов. долларов потерь. На пике своей активности в 2012 и 2013 годах GameOver ZeuS было заражено от 500 000 до 1 миллиона компьютеров.
Оригинальный GameOver ZeuS распространялся через спам-сообщения, содержащие ссылки на веб-сайты, с которых вредоносное ПО загружалось на компьютер жертвы. Затем зараженный компьютер был интегрирован в ботнет , который на тот момент считался одним из самых сложных и безопасных ботнетов в мире. Ботнет GOZ особенно отличался своей децентрализованной одноранговой инфраструктурой, которая в сочетании с другими мерами безопасности, такими как руткиты, чрезвычайно затрудняла закрытие ботнета. Деятельностью ботнета дополнительно руководила организованная преступная группировка, возглавляемая Богачевым и называющая себя «бизнес-клубом», базировавшаяся преимущественно в России и Восточной Европе. Синдикат еще больше усложнил попытки борьбы с ним со стороны правоохранительных органов и исследователей безопасности, используя крупную сеть отмывания денег и DDoS-атаки , используемые как в качестве возмездия, так и в качестве формы отвлечения внимания во время краж.
В 2014 году оригинальный ботнет GameOver ZeuS был закрыт в результате сотрудничества правоохранительных органов нескольких стран и частных фирм по кибербезопасности под названием Operation Tovar . Вскоре после этого Богачеву было предъявлено обвинение, и за информацию, которая привела к его аресту, было объявлено вознаграждение в размере 3 миллионов долларов, что на тот момент было самой высокой наградой для киберпреступника в истории. Менее чем через два месяца после проведения операции «Товар» был обнаружен новый штамм GameOver ZeuS. Названный «newGOZ», он не имел возможностей одноранговой сети, но в остальном девяносто процентов своей кодовой базы делился с исходным GOZ. Участие первоначальных администраторов GameOver ZeuS в деятельности newGOZ с момента его создания оспаривается.
Технические детали
[ редактировать ]Структура ботнета
[ редактировать ]Машины, зараженные GOZ, были объединены в ботнет — систему из нескольких устройств, которыми можно было управлять удаленно через вредоносное ПО. На пике активности ГОЗ с 2012 по 2013 год ботнет насчитывал от 500 000 до миллиона взломанных компьютеров. [1] Возможности создания ботнетов были общими для всех вариантов ZeuS; однако, в то время как предыдущие версии вредоносного ПО создавали централизованные ботнеты, в которых все зараженные устройства были подключены непосредственно к серверу управления и контроля (C2), GameOver ZeuS использовал децентрализованную одноранговую инфраструктуру. [2]
Ботнет был организован в три уровня. Самый нижний уровень состоял из зараженных машин, некоторые из которых преступная группа вручную обозначила как «прокси-боты». Прокси-боты выступали в качестве посредников между нижним уровнем и вторым прокси-уровнем, состоящим из выделенных серверов, принадлежащих группе. Второй уровень служил для создания дистанции между зараженными машинами и самым высоким уровнем, с которого подавались команды и на который отправлялись данные с зараженных машин. [3] Эта инфраструктура затрудняла отслеживание серверов C2 ботнета, поскольку погонщики ботнета напрямую общались только с небольшой группой зараженных компьютеров одновременно. [4] Хотя ботнет в целом имел такую структуру, сеть была разделена на несколько «субботнетов», каждый из которых управлялся отдельным бот-мастером. [5] Существовало до 27 таких субботнетов, но не все активно использовались, а некоторые существовали для целей отладки. [6]
Безопасность
[ редактировать ]GOZ содержал несколько функций безопасности, предназначенных для предотвращения полного анализа ботнета, в частности, путем ограничения деятельности сканеров и датчиков. [а] — а также для предотвращения попыток отключения. Эффективность этих механизмов привела к тому, что GameOver ZeuS стал считаться сложным ботнетом. [9] заместитель генерального прокурора США Джеймс М. Коул назвал его «самым сложным и разрушительным ботнетом, с которым мы когда-либо сталкивались». [10] привлекло Исследователь кибербезопасности Бретт Стоун-Гросс, которого Федеральное бюро расследований для анализа GameOver ZeuS, также признал, что ботнет хорошо защищен от усилий правоохранительных органов и экспертов по безопасности. [11]
Ползунов тормозили различными способами. У каждого бота было пятьдесят пиров; [12] однако бот, которому было предложено предоставить список своих одноранговых узлов, вернул только десять. [13] Кроме того, скорость запроса списков одноранговых узлов была ограничена, так что быстрые запросы с IP-адреса приводили к тому, что этот адрес был помечен как сканер и автоматически вносился в черный список. [14] прекращение всех коммуникаций между помеченным IP-адресом и помечающим ботом. У каждого бота также был заранее существующий список адресов, занесенных в черный список, о которых известно, что они контролируются организациями безопасности. [15]
Датчики были заблокированы с помощью механизма IP-фильтрации, который не позволял нескольким датчикам использовать один IP-адрес. Целью этого было предотвращение атак отдельных лиц или групп с одним IP-адресом на ботнет. [б] [17] Известно, что бот-мастера GOZ проводили DDoS-атаки в ответ на попытки взлома. [18]
В случае, если бот GOZ не сможет связаться с какими-либо узлами, он будет использовать алгоритм генерации домена (DGA), чтобы восстановить контакт с серверами C2 и получить новый список узлов. [19] DGA создавал тысячу доменов каждую неделю, и каждый бот пытался связаться с каждым доменом; это означало, что, если текущие серверы C2 ботнета оказались под угрозой отключения, бот-мастера могли настроить новый сервер, используя домен из сгенерированного списка, и восстановить контроль над сетью. [4]
Существовала специальная «отладочная сборка» вредоносного ПО, которая предоставляла подробные журналы работы в сети. Отладочная сборка существовала для получения информации о действиях исследователей безопасности против ботнета и разработки соответствующих ответов. [20] Саму вредоносную программу также было сложно удалить из-за содержащегося в ней руткита . [21] Руткит Necurs был взят из другой вредоносной программы. [22]
Интерфейс
[ редактировать ]Интерфейс, управляющий ботнетом, можно использовать для чтения данных, зарегистрированных ботами, и выполнения команд, включая пользовательские скрипты. [23] существовала специальная панель захвата токенов, Для атак «человек в браузере» используемая для получения учетных данных для входа в банк; вход в банковский счет обычно включает в себя меры аутентификации в дополнение к имени пользователя и паролю, например одноразовый код или контрольный вопрос. Панель существовала для того, чтобы преступники могли быстро и легко запросить у жертвы решения по этим мерам. [24] Панель захвата токенов называлась «Центр Всемирного банка» со слоганом «Мы играем с вашими банками». [25] Другая панель существовала для облегчения вывода денег с банковских счетов, позволяя пользователю выбрать «счет назначения», на который будут косвенно отправлены деньги. [26] Менеджерам ботнетов не нужно было использовать панель захвата токенов, поскольку им было разрешено загружать собственные скрипты для использования против зараженных систем с оговоркой, что они не смогут атаковать российские компьютеры. [20]
Активность
[ редактировать ]GOZ распространялся с помощью спам-сообщений, выдававших себя за различные группы, такие как интернет-магазины, финансовые учреждения и компании сотовой связи. В электронных письмах содержалась ссылка на взломанный веб-сайт, с которого было загружено вредоносное ПО. Эти спам-сообщения были отправлены через другой ботнет Cutwail , который часто использовался киберпреступниками для рассылки спама. [27]
С 2011 по 2014 год вся деятельность GameOver ZeuS находилась под управлением одного преступного синдиката. Синдикат в основном использовал GOZ для участия в банковском мошенничестве и вымогательстве, однако было известно, что существуют и другие источники дохода, такие как мошенничество с кликами и сдача ботнета в аренду. [28]
Управление
[ редактировать ]Создателем и главным разработчиком GameOver ZeuS был Евгений «slavik» Богачев. [с] создатель Zeus оригинального трояна и непосредственный предшественник GOZ — Jabber Zeus . [25] [29]
Использованием GameOver ZeuS управляли Богачев и группа, называвшая себя «бизнес-клубом». Бизнес-клуб состоял в основном из преступников, которые заплатили плату за возможность пользоваться интерфейсом ГОЗ. К 2014 году в бизнес-клубе насчитывалось около пятидесяти членов. [28] в основном русские и украинцы. [30] Сеть также наняла сотрудников службы технической поддержки вредоносного ПО. [6] Члены преступной сети были разбросаны по всей России, но основные члены, такие как Богачев, в основном базировались в Краснодаре . [25] Члены бизнес-клуба не использовали исключительно ГОЗ и часто были членами других вредоносных сетей. [31]
Помимо бизнес-клуба, большое количество денежных мулов украденных средств было привлечено для отмывания . Мулы, базирующиеся в США, чтобы избежать подозрений, были завербованы через спам-сообщения, рассылаемые ботнетом GOZ, предлагая работу на неполный рабочий день. [32] Денежные мулы не знали, что они распоряжаются украденными средствами или работают на преступный синдикат. [33]
Банковская кража
[ редактировать ]GameOver ZeuS обычно использовался для кражи банковских учетных данных, обычно из больниц. В основном это делалось посредством регистрации нажатий клавиш . [34] Однако вредоносное ПО могло использовать перехват браузера для обхода двухфакторной аутентификации . Предоставив жертве ложную версию страницы входа в свой банк, преступник мог запросить любой код или информацию, необходимую для входа в учетную запись жертвы. Как только жертва «войдет» на фальшивую страницу с этой информацией, она получит сообщение «пожалуйста, подождите» или экран ошибки, пока учетные данные будут отправлены преступникам. С помощью этой информации операторы вредоносного ПО могли получить доступ к банковскому счету и украсть деньги. [24] обычно сотни тысяч или миллионы долларов. [28] В одном случае у одной жертвы было украдено 6,9 миллиона долларов. [35] В 2013 году на долю ГОЗ пришлось 38% краж, преследуемых таким способом. [36] Начиная с ноября 2011 года операторы ГОЗ будут проводить DDoS-атаки на банковские сайты, если они крадут крупную сумму денег, чтобы помешать жертве войти в систему и создать диверсию. [27] Украденные деньги проходили через крупную сеть денежных мулов, прежде чем попасть к преступникам, скрывая от властей их происхождение и назначение. [32] По оценкам, к июню 2014 года через ГОЗ было украдено от 70 до 100 миллионов долларов. [37] [38]
Выкачивание денег шло по графику день-ночь , начиная с Австралии и заканчивая Соединенными Штатами. Преступники, занимающиеся перемещением денег, работали с девяти до пяти смен с понедельника по пятницу, передавая обязанности той команде, которая находилась к западу от них, когда их смена заканчивалась. [25] Конечным пунктом большинства денежных переводов были подставные компании, базирующиеся в уезде Раохэ и городе Суйфэньхэ , двух регионах китайской провинции Хэйлунцзян на российско-китайской границе. [39]
КриптоЛоккер
[ редактировать ]В 2013 году бизнес-клуб начал использовать GameOver ZeuS для распространения CryptoLocker — программы -вымогателя , которая шифровала содержимое компьютеров жертв и требовала оплаты предоплаченными наличными ваучерами или биткойнами в обмен на ключ дешифрования. [32] Жозефина Вольф, доцент кафедры политики кибербезопасности Университета Тафтса : [40] предположил, что мотивация перехода к программам-вымогателям была вызвана двумя причинами: во-первых, создание более безопасных способов зарабатывания денег на GOZ, поскольку программы-вымогатели могли забирать деньги у жертв за меньшую работу для преступников, а анонимные способы оплаты не помогали. не нужно отмывать через деньги мулов, [32] чья лояльность была под вопросом, поскольку они не знали, что работают на преступников; и, во-вторых, чтобы воспользоваться доступом преступников к данным на зараженных компьютерах, которые были важны для жертв, но не представляли никакой ценности для преступников, например, к фотографиям и электронным письмам. [41] Журналист Гаррет Графф также предположил, что программы-вымогатели «превращают мертвый груз в прибыль», извлекая деньги у жертв, чьи банковские балансы были слишком малы, чтобы оправдать прямую кражу. [28]
Начиная с 2013 года около 200 000 компьютеров были атакованы Cryptolocker. [35] Сумма денег, которую Богачев и его коллеги заработали на CryptoLocker, неясна; Вольф заявил, что только за один месяц с октября по декабрь 2013 года было украдено 27 миллионов долларов. [42] Однако Майкл Сэнди дал гораздо меньшую оценку — 3 миллиона долларов за весь период деятельности CryptoLocker. [43] Вольф утверждает, что наследие GameOver ZeuS заключается не в инновационной структуре P2P-ботнета, а в прецеденте, который он создал в CryptoLocker для будущих атак программ-вымогателей. [44]
Шпионаж
[ редактировать ]Анализ ботнета выявил попытки поиска секретной и конфиденциальной информации на взломанных компьютерах, в частности, в Грузии, Турции, Украине, [45] и США, ведущие эксперты полагают, что GameOver ZeuS также использовался для шпионажа в пользу российского правительства. [46] Ботнет в Украине начал проводить подобные поиски только после того, как пророссийское правительство страны рухнуло в результате революции в 2014 году. [47] Страны-члены ОПЕК также подверглись нападению. [30] Поиски были адаптированы к целевой стране: при поиске в Грузии требовалась информация о конкретных правительственных чиновниках, при поиске в Турции – информация о Сирии, при поиске на Украине использовались общие ключевые слова, такие как «федеральная служба безопасности» и «агент безопасности». [48] при поиске в США были обнаружены документы, содержащие такие фразы, как «совершенно секретно» и «Министерство обороны». [46] Ботнеты, используемые для шпионажа, использовались отдельно от тех, которые использовались для финансовых преступлений.
Неясно, кто отвечал за шпионские операции; В то время как исследователь безопасности Тиллман Вернер, который помог уничтожить оригинальный ботнет GOZ, предположил возможность участия партнера или клиента, Майкл Санди, другой участник операции по удалению, заявил, что Богачев несет главную или единоличную ответственность, утверждая, что он имел единственный доступ к протоколам наблюдения за вредоносным ПО и что, поскольку в круг его преступных сообщников входили украинцы, ему придется хранить шпионаж в секрете. [48] Сэнди предположил, что использование ботнета в целях шпионажа обеспечило Богачеву «уровень защиты», который может объяснить, почему его до сих пор не задержали. [49] несмотря на то, что он открыто и под своим именем живет в России. [46]
История
[ редактировать ]Происхождение и имя
[ редактировать ]GameOver ZeuS был создан 11 сентября 2011 года как обновление Zeus 2.1, также известного как Jabber Zeus . [50] Jabber Zeus управлялся синдикатом организованной преступности, ключевым членом которого был Богачев, который в значительной степени распался в 2010 году из-за действий полиции. [28] В конце 2010 года Богачев объявил, что уходит из киберпреступности и передает код Zeus конкуренту. Исследователи безопасности отнеслись к этому шагу со скептицизмом, поскольку Богачев ранее неоднократно объявлял о завершении карьеры только для того, чтобы вернуться с улучшенной версией Zeus. [51] В мае 2011 года произошла утечка исходного кода Zeus, что привело к увеличению количества вариантов. [27] [52] Графф предположил, что ответственность за утечку несет сам Богачев. [28]
Название «GameOver ZeuS» было придумано исследователями безопасности и взято из файла «gameover2.php», используемого каналом C2. [53] Среди других названий — одноранговые ZeuS, ZeuS3, [54] и ГоЗевс. [55]
Закрытие ботнета
[ редактировать ]Оригинальный ботнет GameOver ZeuS был уничтожен усилиями международных правоохранительных органов под кодовым названием « Операция Товар ». [56] Три предыдущие попытки в период с 2012 по январь 2013 года уничтожить ботнет оказались безуспешными. [28] в марте 2012 года включая одну попытку Microsoft подать в суд с целью конфискации серверов и доменов, контролируемых GOZ, но она провалилась из-за одноранговой архитектуры GameOver ZeuS. [27] Планирование операции «Товар» началось в 2012 году, когда Федеральное бюро расследований начало работать вместе с частными фирмами по кибербезопасности для борьбы с ГОЗ. [57] К 2014 году [28] власти Соединенного Королевства также предоставили ФБР информацию о контролируемом ГОЗ сервере в Великобритании, содержащем записи мошеннических транзакций. Информация на сервере в сочетании с интервью с бывшими «денежными мулами» позволила ФБР начать понимать инфраструктуру бот-сети ГОЗ. Богачев был идентифицирован как руководитель сети GameOver ZeuS путем сопоставления IP-адреса, используемого для доступа к его электронной почте, с IP-адресом, используемым для администрирования ботнета; [58] хотя он и использовал VPN , Богачев использовал один и тот же для обеих задач. [59] Команда Operation Tovar также провела реверс-инжиниринг DGA вредоносного ПО, что позволило им упредить любые попытки восстановить ботнет и перенаправить такие попытки на серверы, контролируемые правительством. Серверы C2 GOZ в Канаде, Украине и Казахстане были конфискованы властями. [60] Украина первой сделала это 7 мая 2014 года. [35] После завершения подготовки 30 мая началась операция «Товар». Операция представляла собой провальную атаку, которая прервала связь между ботами и их командными серверами, перенаправив связь на вышеупомянутые серверы, контролируемые правительством. [57] Технические детали операции по большей части остаются засекреченными. [60]
2 июня Министерство юстиции объявило итоги операции «Товар». В тот же день было раскрыто обвинительное заключение против Богачева. [61] Однако власти также предупредили, что ботнет, скорее всего, вернется в течение двух недель. [62] 11 июля Министерство юстиции заявило, что в результате операции количество заражений ГОЗ снизилось на 32 процента. [44] 24 февраля 2015 года Министерство юстиции объявило награду в размере 3 миллионов долларов за информацию, которая приведет к аресту Богачева. [63] на тот момент это была самая крупная награда для киберпреступника. [1] [д]
Возрождение как «новыйГОЗ»
[ редактировать ]Через пять недель после проведения операции «Товар» охранная компания Malcovery объявила, что обнаружила новый штамм GOZ, передаваемый через спам-сообщения. Несмотря на то, что новое вредоносное ПО разделяет около девяноста процентов своей кодовой базы с предыдущими версиями GOZ, оно не создало одноранговую бот-сеть, предпочитая создавать структуру бот-сети с использованием fast flux — метода, при котором сайты фишинга и доставки вредоносного ПО скрываются за быстро меняющийся набор скомпрометированных систем, выступающих в роли прокси. [66] Происхождение и мотивы создания нового варианта, получившего название «newGOZ», были неясны; Майкл Санди считал, что newGOZ — это «уловка», позволяющая выдать исходный код вредоносного ПО и отвлечь Богачева, в котором он сможет исчезнуть. [52] Однако в первоначальном отчете Малковери утверждалось, что новый троянец представляет собой серьезную попытку возродить ботнет. [67] Исходные ботнеты GameOver ZeuS и newGOZ представляли собой отдельные сущности; список доменов, созданных соответствующими DGA, был разным, несмотря на схожие алгоритмы, а первоначальный ботнет GOZ был описан Малковери как все еще «заблокированный». [68]
Новое вредоносное ПО разделилось на два варианта. Варианты различались по двум областям: количеству доменов, генерируемых DGA: один генерирует 1000 доменов в день, а другой — 10 000; и географическое распространение заражений: первый вариант в первую очередь заражал системы в США, а второй — компьютеры в Украине и Беларуси. [69] По оценкам, на 25 июля 2014 г. newGOZ было заражено 8 494 машины. [70] Сообщалось также о других вариантах ГОЗ, в том числе «Зевс-в-Среднем», нацеленном на мобильные телефоны. [71] По состоянию на 2017 год варианты Zeus составляют 28% всех банковских вредоносных программ. [72] Однако Санди утверждает, что большую часть доли рынка Zeus отбирают новые вредоносные программы. [52]
См. также
[ редактировать ]Похожие российские и восточноевропейские киберпреступные группировки:
- Avalanche , использованные ботнеты и почтовый спам
- Berserk Bear — продвинутая постоянная угроза, которая, как известно, использует киберпреступников.
- REvil , использующий программы-вымогатели
Похожие ботнеты:
- Conficker , чрезвычайно плодовитый ботнет на пике своего развития
- Sality , еще один одноранговый ботнет
- Torpig , еще один ботнет, распространяющийся через троянских коней
- Крошечный троян-банкир , полученный от Зевса
- Ботнет ZeroAccess , также P2P и распространяющийся через троянов
Примечания и ссылки
[ редактировать ]Примечания
[ редактировать ]- ^ В контексте мониторинга P2P-ботнета краулер — это программа, которая, используя протокол связи ботнета, запрашивает узлы данного бота, затем запрашивает список узлов у каждого бота в исходном списке узлов бота, и так далее, пока весь ботнет нанесен на карту. [7] Датчик проникает в список одноранговых узлов нескольких ботов и регистрирует попытки связаться с ним со стороны ботов в сети. [8]
- ^ Sinkholing — это метод, используемый для уничтожения ботнетов, при котором внутри ботнета развертывается специальный датчик. Датчик, также известный как провал , прерывает контакт между ботами и их контроллерами. [16]
- ^ Также известен как «lucky12345» и «Pollingsoon».
- ^ С тех пор эта сумма была превышена вознаграждением в 5 миллионов долларов, назначенным 5 декабря 2019 года за информацию, которая привела к Evil Corp главы Максима Якубца . аресту [64] Якубец ранее работал с Богачевым в составе команды Jabber Zeus. [65]
Ссылки
[ редактировать ]- ^ Jump up to: а б Вольф 2018 , с. 59.
- ^ Этахер, Weir & Alazab 2015 , стр. 1386.
- ^ Андрисс и др. 2013 , с. 117.
- ^ Jump up to: а б Вольф 2018 , с. 61.
- ^ Андрисс и др. 2013 , с. 116.
- ^ Jump up to: а б Сэнди 2015 , с. 6.
- ^ Каруппайя 2018 , с. 4.
- ^ Каруппайя 2018 , с. 15.
- ^ Каруппайя 2018 , с. 44.
- ^ Сильвер, Джо (2 июня 2014 г.). «Правительства разрушают ботнет Gameover ZeuS и программу-вымогатель Cryptolocker » . Арс Техника . Архивировано из оригинала 5 июня 2023 года . Проверено 21 июля 2023 г.
- ^ Шталь, Лесли (21 апреля 2019 г.). «Растущее партнерство между правительством России и киберпреступниками» . ЦБС . Архивировано из оригинала 18 января 2023 года . Проверено 7 мая 2023 г.
- ^ Каруппайя 2018 , с. 40.
- ^ Каруппайя 2018 , с. 20.
- ^ Каруппайя 2018 , стр. 22–23.
- ^ Каруппайя 2018 , с. 31.
- ^ Каруппайя 2018 , с. 79.
- ^ Каруппайя 2018 , с. 21.
- ^ Каруппайя 2018 , с. 23.
- ^ Андрисс и др. 2013 , с. 118.
- ^ Jump up to: а б Сэнди 2015 , с. 7.
- ^ Этахер, Weir & Alazab 2015 , стр. 1387.
- ^ Зорабедян, Джон (4 марта 2014 г.). «SophosLabs: банковское вредоносное ПО Gameover теперь имеет руткит для лучшей маскировки» . Новости Софоса . Архивировано из оригинала 29 мая 2023 года . Проверено 20 июля 2023 г.
- ^ Санди 2015 , с. 15.
- ^ Jump up to: а б Сэнди 2015 , стр. 16–17.
- ^ Jump up to: а б с д Кребс, Брайан (5 августа 2014 г.). «Внутри преступной группировки «Бизнес-клуб» с оборотом в 100 миллионов долларов» . Кребс о безопасности . Архивировано из оригинала 27 мая 2023 года . Проверено 8 июля 2023 г.
- ^ Санди 2015 , с. 17.
- ^ Jump up to: а б с д Стоун-Гросс, Бретт (23 июля 2012 г.). «Жизненный цикл одноранговой сети (Gameover) ZeuS» . Безопасные работы . Архивировано из оригинала 28 мая 2023 года . Проверено 16 июля 2023 г.
- ^ Jump up to: а б с д и ж г час Графф, Гаррет М. (21 марта 2017 г.). «Внутри охоты на самого известного хакера России» . ПРОВОДНОЙ . Архивировано из оригинала 23 апреля 2023 года . Проверено 8 июля 2023 г.
- ^ Кребс, Брайан (25 февраля 2015 г.). «ФБР: награда в 3 миллиона долларов за автора трояна ZeuS» . Кребс о безопасности . Архивировано из оригинала 7 апреля 2023 года . Проверено 5 мая 2023 г.
- ^ Jump up to: а б Королева Мария (7 августа 2015 г.). «Преступники GameOver ZeuS шпионили за Турцией, Грузией, Украиной и ОПЕК» . ЦСО онлайн . Архивировано из оригинала 16 июля 2023 года . Проверено 16 июля 2023 г.
- ^ Санди 2015 , с. 9.
- ^ Jump up to: а б с д Вольф 2018 , с. 63.
- ^ Вольф 2018 , с. 65.
- ^ Вольф 2018 , с. 62.
- ^ Jump up to: а б с Перес, Эван (3 июня 2014 г.). «США уничтожают компьютерное вредоносное ПО, укравшее миллионы» . CNN . Архивировано из оригинала 3 июня 2023 года . Проверено 21 июля 2023 г.
- ^ Этахер, Weir & Alazab 2015 , стр. 1388.
- ^ Гросс, Гаррет (март 2016 г.). «Обнаружение и уничтожение ботнетов». Сетевая безопасность . 2016 (3): 8. doi : 10.1016/S1353-4858(16)30027-7 . ISSN 1353-4858 . OCLC 6017168570 . S2CID 29356524 .
- ^ Музил, Стивен (2 июня 2014 г.). «США раскрыли сеть киберпреступников, занимающихся вредоносным ПО GameOver Zeus, стоимостью 100 миллионов долларов» . CNET . Архивировано из оригинала 16 июля 2023 года . Проверено 16 июля 2023 г.
- ^ Санди 2015 , стр. 18–20.
- ^ Вольф, Жозефина (27 января 2019 г.). «Двухфакторная аутентификация может не защитить вас» . Нью-Йорк Таймс . Архивировано из оригинала 27 июня 2023 года . Проверено 23 июля 2023 г.
- ^ Вольф 2018 , стр. 69–70.
- ^ Вольф 2018 , с. 64.
- ^ Санди 2015 , с. 3.
- ^ Jump up to: а б Вольф 2018 , с. 68.
- ^ Санди 2015 , с. 21.
- ^ Jump up to: а б с Швирц, Майкл; Гольдштейн, Джозеф (12 марта 2017 г.). «Российский шпионаж вмешивается в хакерскую деятельность киберпреступника» . Нью-Йорк Таймс . Архивировано из оригинала 25 мая 2023 года . Проверено 17 июля 2023 г.
- ^ Стивенсон, Аластер (6 августа 2015 г.). «Российское правительство, возможно, защищает создателя самого печально известного вредоносного ПО в мире» . Бизнес-инсайдер . Архивировано из оригинала 23 апреля 2023 года . Проверено 16 июля 2023 г.
- ^ Jump up to: а б Брюстер, Томас (5 августа 2015 г.). «Самый разыскиваемый ФБР вора в киберпреступности связан с российским шпионажем в отношении правительства США» . Форбс . Архивировано из оригинала 8 мая 2023 года . Проверено 16 июля 2023 г.
- ^ Санди 2015 , с. 23.
- ^ Петерсон, Санди и Вернер, 2015 , 8:00–8:33.
- ^ Барц, Дайан (29 октября 2010 г.). «Анализ: топ-хакер «уходит в отставку»; эксперты готовятся к его возвращению» . Рейтер . Архивировано из оригинала 10 декабря 2022 года . Проверено 23 июля 2023 г.
- ^ Jump up to: а б с Сэнди 2015 , с. 5.
- ^ Петерсон, Санди и Вернер 2015 , 7:18–7:27.
- ^ Санди 2015 , с. 2.
- ^ Хэй, Эндрю (5 марта 2020 г.). «Gameover ZeuS переключается с P2P на DGA» . Зонт Циско . Архивировано из оригинала 30 мая 2023 года . Проверено 8 июля 2023 г.
- ^ Кребс, Брайан (2 июня 2014 г.). « Операция «Товар» направлена против ботнета «Gameover» ZeuS и CryptoLocker Scourge» . Кребс о безопасности . Архивировано из оригинала 4 июня 2023 года . Проверено 21 июля 2023 г.
- ^ Jump up to: а б Франчески-Биккьерай, Лоренцо (12 августа 2015 г.). «Как ФБР ликвидировало ботнет, который было невозможно уничтожить» . ПОРОК . Архивировано из оригинала 22 июня 2022 года . Проверено 21 июля 2023 г.
- ^ Вольф 2018 , стр. 64–66.
- ^ Петерсон, Санди и Вернер, 2015 , 41:06–41:31.
- ^ Jump up to: а б Вольф 2018 , с. 67.
- ^ Траутман, Лоуренс Дж.; Ормерод, Питер К. (зима 2019 г.). «Wannacry, программы-вымогатели и новые угрозы для корпораций» (PDF) . Обзор права Теннесси . 86 (2): 512. дои : 10.2139/ssrn.3238293 . ISSN 0040-3288 . OCLC 1304267714 . S2CID 169254390 . ССНН 3238293 . – через ResearchGate
- ^ Диньян, Ларри (2 июня 2014 г.). «Ботнет GameOver Zeus захвачен; власти заявляют, что двухнедельное окно, чтобы защитить себя» . ЗДНЕТ . Архивировано из оригинала 2 июля 2023 года . Проверено 23 июля 2023 г.
- ^ Кравец, Давид (24 февраля 2015 г.). «США предлагают вознаграждение в размере 3 миллионов долларов за поимку администратора ботнета GameOver ZeuS» . Арс Техника . Архивировано из оригинала 16 апреля 2023 года . Проверено 21 июля 2023 г.
- ^ Добрынин Сергей; Крутов, Марк (11 декабря 2019 г.). «Роскошные свадебные фотографии указывают на семейные связи предполагаемого российского кибервора из ФСБ» . Радио Свободная Европа . Архивировано из оригинала 22 июля 2023 года . Проверено 23 июля 2023 г.
- ^ Кребс, Брайан (15 ноября 2022 г.). «В Женеве арестован главный подозреваемый в ботнете Zeus «Танк»» . Кребс о безопасности . Архивировано из оригинала 10 апреля 2023 года . Проверено 7 мая 2023 г.
- ^ Кребс, Брайан (10 июля 2014 г.). «Мошенники стремятся возродить ботнет Gameover Zeus» . Кребс о безопасности . Архивировано из оригинала 1 февраля 2023 года . Проверено 7 июля 2023 г.
- ^ Брюстер, Том (11 июля 2014 г.). «Gameover Zeus возвращается: количество воров вредоносных программ растет через месяц после действий полиции» . Хранитель . Архивировано из оригинала 24 января 2023 года . Проверено 7 июля 2023 г.
- ^ Константин, Лукиан (11 июля 2014 г.). «Троянская программа Gameover вернулась с некоторыми изменениями» . ЦСО онлайн . Архивировано из оригинала 7 июля 2023 года . Проверено 7 июля 2023 г.
- ^ Косован, Дойна (6 августа 2014 г.). «Варианты Gameover Zeus, ориентированные на Украину и США» . Блог Bitdefender . Архивировано из оригинала 16 мая 2022 года . Проверено 8 июля 2023 г.
- ^ Константин, Лукиан (14 августа 2014 г.). «Новый ботнет Gameover Zeus продолжает расти, особенно в США» . ЦСО онлайн . Архивировано из оригинала 8 июля 2023 года . Проверено 8 июля 2023 г.
- ^ Ашер-Дотан, Литал (1 июля 2015 г.). «ФБР против GameOver Zeus: почему побеждает ботнет на основе DGA» . Вредоносная жизнь от Cybereason . Архивировано из оригинала 7 марта 2022 года . Проверено 23 июля 2023 г.
- ^ Гезер, Али; Уорнер, Гэри; Уилсон, Клиффорд; Шреста, Пракаш (июль 2019 г.). «Потоковый подход к обнаружению банковских троянов Trickbot». Компьютеры и безопасность . 84 : 180. doi : 10.1016/j.cose.2019.03.013 . ISSN 0167-4048 . OCLC 8027301558 . S2CID 88494516 .
Общие источники
[ редактировать ]- Андрисс, Деннис; Россов, Кристиан; Стоун-Гросс, Бретт; Пломанн, Дэниел; Бос, Герберт (22–24 октября 2013 г.). «Высокоустойчивые одноранговые ботнеты уже здесь: анализ Gameover Zeus» (PDF) . 2013 8-я Международная конференция по вредоносному и нежелательному программному обеспечению: «Америка» . Международная конференция по вредоносному и нежелательному программному обеспечению. Фахардо : IEEE . стр. 116–123. дои : 10.1109/MALWARE.2013.6703693 . ISBN 978-1-4799-2534-6 . S2CID 18391912 .
- Этахер, Найла; Вейр, Джордж Р.С.; Алазаб, Мамун (20–22 августа 2015 г.). «От ZeuS до Zitmo: тенденции развития банковского вредоносного ПО» (PDF) . 2015 IEEE Trustcom/BigDataSE/ISPA . Международная конференция IEEE по доверию, безопасности и конфиденциальности в области вычислений и коммуникаций. Хельсинки : IEEE . стр. 1386–1391. дои : 10.1109/Trustcom.2015.535 . ISBN 978-1-4673-7952-6 . OCLC 8622928059 . S2CID 2703081 .
- Каруппайя, Шанкар (2018). Расширенный мониторинг в P2P-ботнетах: двойная перспектива . Сингапур : Спрингер . дои : 10.1007/978-981-10-9050-9 . eISSN 2522-557X . ISBN 978-981-10-9049-3 . ISSN 2522-5561 . LCCN 2018940630 . OCLC 1036733978 . S2CID 1919346 .
- Петерсон, Эллиотт; Сэнди, Майкл; Вернер, Тильманн (5 августа 2015 г.). GameOver Zeus: Badguys And Backends (Выступление). Брифинги «Черной шляпы» . Лас Вегас . Архивировано из оригинала 31 марта 2023 года . Проверено 7 мая 2023 г. (Полная речь на YouTube .)
- Сэнди, Майкл (5 августа 2015 г.). GameOver ZeuS: История злодеев и серверов (PDF) . Брифинги «Черной шляпы» . Лас Вегас .
- Вольф, Жозефина (2018). Вы увидите это сообщение, когда будет слишком поздно: юридические и экономические последствия нарушений кибербезопасности . Кембридж, Массачусетс : MIT Press . ISBN 9780262038850 . LCCN 2018010219 . OCLC 1029793778 . S2CID 159378060 .