Jump to content

Джаббер Зевс

Add links

Jabber Zeus представлял собой синдикат киберпреступников и связанный с ним троянский конь, созданный и управляемый хакерами и лицами, занимающимися отмыванием денег, базирующимися в России, Великобритании и Украине. [ а ] Это была вторая основная итерация Zeus вредоносного ПО и рэкета , последовавшая за Zeus и предшествовавшая Gameover Zeus .

Jabber Zeus действовал примерно с 2009 по 2010 год. Команда, состоящая из девяти основных членов, рассылала малым предприятиям спам-сообщения, содержащие трояна. Троянец отправлял банковскую информацию жертвы, включая одноразовые пароли, в режиме реального времени, используя протокол Jabber , преступникам, которые использовали эту информацию для вывода средств с банковского счета жертвы и отмывания их с помощью огромной сети денежные мулы , откуда они в конечном итоге дойдут до группы. Вредоносное ПО также могло использоваться в шпионских целях. В сентябре 2010 года троянец был обновлен и включил ряд других возможностей, призванных повысить его безопасность.

В период с 30 сентября по 1 октября 2010 года несколько ключевых членов и денежных мулов группы были арестованы в ходе совместной операции Федерального бюро расследований , Федеральной службы безопасности России , Службы безопасности Украины и полицейских ведомств Великобритании. и Нидерланды. Хотя арестованные на Украине лица были быстро освобождены благодаря связям с правительством члена ядра Вячеслава Пенчукова и в России не было арестовано ни одного заговорщика, в результате арестов группа была фактически закрыта. Год спустя, в сентябре 2011 года, группа и вредоносное ПО вновь появились под названием Gameover Zeus.

Организация и деятельность

[ редактировать ]

Основные члены

[ редактировать ]

В обвинительном заключении, поданном в округе Небраска 22 августа 2012 г., были перечислены девять основных участников Jabber Zeus:

  • Evgeniy Bogachev, alias "lucky12345", [ б ] житель России. Богачев был основным разработчиком вредоносного ПО Jabber Zeus и предыдущего Zeus комплекта для создания трояна . [ 10 ]
  • Вячеслав Пенчуков, псевдонимы «Танк» и «Отец», житель Украины. Пенчуков координировал перемещение украденных банковских реквизитов, а также сеть «денежных мулов» . [ 11 ] Он был первым человеком, которого вредоносная программа уведомила о заражении, и единственным членом экипажа, общавшимся с Богачевым. [ 12 ]
  • Евгений Кулибаба, псевдоним «Джонни», является резидентом Великобритании. Кулибаба был предполагаемым главой группы. [ 13 ] [ 14 ] но это оспаривается Брайаном Кребсом и Патриком О'Нилом, которые заявляют, что лидером был Пенчуков или Богачев соответственно. [ с ] [ 12 ]
  • Юрий Коноваленко, он же «jtk0», житель Великобритании. Коноваленко был правой рукой Кулибабы в Великобритании. [ 13 ] предоставление ему банковских реквизитов жертв и денежных мулов, а также сбор данных от его сообщников. [ 11 ]
  • Иван Клепиков, псевдонимы «петр0вич» и «нигде», житель Украины. Клепиков был системным администратором экипажа. [ 11 ]
  • Алексей Брон, псевдоним «голова», житель Украины. Брон управлял переводом средств с помощью сервиса онлайн-платежей WebMoney . [ 11 ]
  • Алексей Тиконов, псевдоним «кусанаги», житель России. Тиконов был программистом преступного предприятия. [ 11 ]
  • Максим Якубец , он же «Аква», [ д ] житель России. Якубец руководил и набирал в группу денежных мулов. [ 12 ] [ 17 ]
  • «mricq», настоящее имя неизвестно, житель Украины. «mricq» был программистом команды. [ 18 ]

В обвинительном заключении основным членам организации предъявлено обвинение в банковском и компьютерном мошенничестве , рэкете и краже личных данных. [ 1 ] [ 19 ]

Modus Operandi и вредоносное ПО Jabber Zeus

[ редактировать ]

Команда Jabber Zeus занималась распространением, обычно через спам-сообщения , [ 20 ] и установку одноименного вредоносного ПО на компьютеры жертв, а затем использование его для получения доступа к их банковским счетам. Деньги будут украдены со счетов и переданы сети денежных мулов, которые отмывают деньги, прежде чем они в конечном итоге попадут к преступникам. Денежные мулы обычно не подозревали, что имеют дело с украденными финансами. [ 17 ] В 2010 году ФБР заявило, что существует более 3500 таких денежных мулов. [ 21 ] Команда Jabber Zeus в первую очередь ориентировалась на малый бизнес. [ 15 ] В 2010 году следователи подсчитали, что преступники украли как минимум 70 миллионов долларов, причем реальная цифра намного выше. [ 7 ]

Деятельность команды началась как минимум с 2009 года. Первоначальная версия вредоносного ПО Jabber Zeus была построена на основе стандартного комплекта Zeus, известного тогда как Zeus 2. [ 22 ] Вредоносная программа отличалась от других вариантов Zeus главным образом модификацией, позволяющей отправлять банковские данные жертвы, в частности одноразовые пароли, преступникам, как только жертва входила в систему. Сообщение было отправлено через протокол Jabber , [ 23 ] [ 24 ] отсюда и название «Джаббер Зевс». [ 10 ] В сентябре 2010 года Богачев предоставил команде специализированную версию вредоносного ПО, известную как ZeuS 2.1.0.X. [ 25 ] Он содержал и другие уникальные возможности, включая алгоритм генерации домена для предотвращения попыток завершения работы, поддержку регулярных выражений и возможность заражения файлов . [ 26 ] Вредоносная программа была дополнительно защищена ключом шифрования, который требовал от Пенчукова приобретать каждую копию отдельно по цене 10 000 долларов за копию. [ 7 ]

Зараженные машины, как и другие варианты Zeus, образовывали ботнет , к которому группа могла получить доступ и управлять им. [ 27 ] Анализ нескольких вариантов Zeus, в том числе Jabber Zeus, выявил попытки этого ботнета искать секретную и конфиденциальную информацию в Грузии, Турции и Украине, что привело к подозрению, что вредоносное ПО дополнительно использовалось для шпионажа в пользу России. [ 28 ]

11 сентября 2011 года вредоносная программа Jabber Zeus была обновлена ​​до Gameover Zeus , последнего известного варианта Zeus, разработанного Богачевым. [ 29 ]

Конфликт с Брайаном Кребсом

[ редактировать ]

2 июля 2009 года газета Washington Post опубликовала статью Брайана Кребса, описывающую кражу командой Jabber Zeus 415 000 долларов у правительства округа Буллит, штат Кентукки . [ 30 ] Вскоре после этого с Кребсом связался человек, который взломал сервер мгновенных сообщений Jabber команды и смог прочитать частные чаты между ними. Члены синдиката также были осведомлены об истории Washington Post и выразили разочарование тем, что их подвиги теперь стали общедоступной информацией; В беседе Пенчукова и Богачева первый заявил, что "теперь вся США знает о Зевсе", на что Богачев согласился: "Пиздец". После этого члены съемочной группы будут следить за тем, что пишет Кребс. [ 10 ]

Кребс также получил доступ к сообщениям, отправленным группой «денежным мулам», воспользовавшись уязвимостью в безопасности на веб-сайтах по найму денежных мулов, которая позволяла автоматизированному парсеру перехватывать сообщения, отправленные любому другому пользователю; пользователи могли после входа в систему читать сообщения другим пользователям, изменяя число в URL-адресе. [ 17 ] Благодаря этому доступу он смог предотвратить несколько попыток взлома со стороны команды и написать о них, связавшись с предприятиями-жертвами. уволила Кребса 13 декабря 2009 года съемочная группа обнаружила, что газета Washington Post до того, как эта информация стала достоянием общественности, и отпраздновала это событие вместе с вербовщиком-денежным мулом, надеющимся на возможное подтверждение слухов: «Ровно ожидались хорошие новости. к Новому году!» [ 15 ]

Расследование

[ редактировать ]

Операция «Трайдент Брейч»

[ редактировать ]

В сентябре 2009 года Федеральное бюро расследований (ФБР) получило ордер на обыск сервера в Нью-Йорке, который подозревали в связи с предприятием Jabber Zeus. Было обнаружено, что на сервере содержатся чаты экипажа, которые начало отслеживать ФБР. [ 7 ] Вскоре после этого они начали делиться информацией из чатов с Федеральной службой безопасности России (ФСБ) и Службой безопасности Украины (СБУ). [ 12 ] Примерно в это же время опознали Пенчукова; 22 июля он отправил сообщение, содержащее имя и вес его новорожденной дочери, что соответствовало украинским записям о рождении. [ 15 ] В апреле 2010 года экипажу стало известно, что за ними ведется слежка, возможно, по сигналу коррумпированного агента СБУ, но какое-то время продолжали отправлять сообщения, используя взломанный сервер. [ 12 ]

В 2010 году ФБР организовало операцию «Трайдент Бреч» — совместную операцию ФБР, ФСБ, СБУ и полицейских ведомств Великобритании и Нидерландов — с целью поимки лидеров группы Jabber Zeus. Операция в основном координировалась в июне 2010 года в доме директора СБУ Валерия Хорошковского , при этом ведомства планировали арестовать подозреваемых 29 сентября того же года. Однако по требованию СБУ операцию несколько раз переносили, в конечном итоге на 1 октября, и к этому моменту Пенчукова потеряли. [ 12 ] Пенчуков был проинформирован о предстоящей операции и скрылся. [ 15 ]

С 30 сентября по 1 октября 2010 г. была проведена операция «Трайдент Бреч», в результате которой были арестованы 39 граждан США, 20 жителей Великобритании и пять украинцев. [ 31 ] В России арестов не было. [ 12 ] Операция началась на день раньше в ответ на сообщения о том, что Пенчукову и другим подозреваемым сообщили. [ 21 ] Среди арестованных были Кулибаба и Коноваленко, осужденные в Великобритании в 2011 году. [ 32 ] затем экстрадирован в США в 2014 году, [ 11 ] и Клепиков, который не был экстрадирован из-за запрета конституции Украины на экстрадицию граждан и в конечном итоге отпущен вместе с другими арестованными украинцами. Пенчукову, используя свои связи с президентом Украины Виктором Януковичем и местными властями в своем родном городе Донецке , удалось добиться снятия с себя обвинений. [ 12 ] [ 10 ] Несмотря на побег нескольких ключевых членов, в результате операции синдикат был разрушен и фактически закрыт. [ 7 ]

Identification of Bogachev and Yakubets

[ редактировать ]

Личности Богачева и Якубца не были публично известны до тех пор, пока после арестов Jabber Zeus не распался и не превратился в Gameover Zeus; они были известны только под псевдонимами «lucky12345» и «aqua» соответственно как члены группы. Богачев также был известен как «Славик», хотя в обвинительном заключении 2012 года он не был указан как таковой. [ 33 ]

Богачев был идентифицирован в 2014 году после того, как источник указал следователям, работающим в компании Fox-IT, занимающейся исследованиями в области безопасности, на один из его адресов электронной почты. Хотя Богачев использовал VPN для администрирования ботнета Gameover Zeus, он использовал тот же VPN для доступа к своим личным учетным записям, что позволило следователям, ранее проникшим на командные серверы ботнета, связать систему с Богачевым. [ 7 ] [ 34 ]

Якубец был официально идентифицирован в уголовном заявлении 14 ноября 2019 года на основе доказательств, собранных в период с 2010 по 2018 год. Попытка определить, кто арендовал Jabber-сервер, взломанный ФБР в 2009 году, не выявила никаких улик, поскольку сервер был арендован под вымышленным именем. . [ 23 ] 9 июля 2010 г. власти США направили в Россию запрос о взаимной правовой помощи для получения информации относительно «аква»; Российские власти ответили доказательствами того, что «Аква» был Якубец, полученными из его учетной записи электронной почты, в которой использовался псевдоним «Аква», но содержались электронные письма, в которых он идентифицировался по его настоящему имени, а также по его адресу. 25 декабря 2012 года женщина, которая, как выяснилось, проживала по адресу Якубец, в заявлении на получение визы указала своего супруга как Якубца, а мальчика, путешествующего с ней, указала как своего сына. Имя ребенка было обнаружено в перехваченных журналах чатов между Якубцем и Пенчуковым за 2009 год. 19 марта 2018 года Microsoft по решению суда предоставила записи, связывающие учетную запись Skype Якубца и его электронную почту. 12 августа 2018 года бывшая жена Якубца и ее сын подали заявление на получение еще одной визы, снова указав Якубца как бывшего мужа женщины. [ 35 ] [ 36 ]

Арест Пенчукова

[ редактировать ]

Пенчуков был арестован в Женеве , Швейцария, 23 октября 2022 года, а его экстрадиция в США была разрешена 15 ноября. Арест Пенчукова был приведен автором CNN Шоном Лингаасом и Кребсом в качестве примера возможностей ареста киберпреступников, российское вторжение в Украину , когда они бегут из страны ради собственной безопасности. [ 37 ] [ 38 ]

См. также

[ редактировать ]

Примечания и ссылки

[ редактировать ]

Примечания

[ редактировать ]
  1. Название синдиката также переводится как Jabberzeus . [ 1 ] ДжабберЗевс , [ 2 ] Джаббер ЗевС , [ 3 ] и JabberZeuS , [ 4 ] но его члены называли его «бизнес-клубом». [ 5 ] Вредоносное ПО было известно также как Licat , Murofet и ZeuS 2.1.0.X. [ 6 ] последний из которых часто сокращался до Зевса 2.1 . [ 7 ] [ 8 ]
  2. В обвинительном заключении 2012 года упоминается как «Джон Доу №1». Формально ему было присвоено прозвище «lucky12345» в другом обвинительном заключении, вынесенном 30 мая 2014 года. [ 9 ]
  3. Кребс называл Кулибабу главой банды в 2015 году. [ 10 ] но в 2022 году он назначил Пенчукова ее лидером. [ 15 ]
  4. В обвинительном заключении 2012 года упоминается как «Джон Доу №2». Формально к прозвищу «аква» он был привязан в уголовном заявлении, поданном 14 ноября 2019 года. [ 16 ]

Ссылки

[ редактировать ]
  1. ^ Перейти обратно: а б «Эволюция группы угроз GOLD EVERGREEN» . Безопасные работы . 17 мая 2017 года. Архивировано из оригинала 27 января 2023 года . Проверено 5 мая 2023 г.
  2. ^ Стахи, Сильвиу (18 ноября 2022 г.). «Предполагаемый лидер преступной группировки JabberZeus арестован в Швейцарии» . Блог Bitdefender . Архивировано из оригинала 5 мая 2023 года . Проверено 5 мая 2023 г.
  3. ^ Данчев, Данчо (2 июня 2021 г.). «Профилирование мошеннического ботнета Jabber ZeuS – анализ» . WhoisXML API . Архивировано из оригинала 5 декабря 2022 года . Проверено 5 мая 2023 г.
  4. ^ Бедерна, Жолт; Садецкий, Тамаш (2021). «Эффекты ботнетов – человеко-организационный подход» . Ежеквартальный журнал по безопасности и обороне . 35 (3): 35. дои : 10.35467/sdq/138588 .
  5. ^ Санди 2015 , с. 6.
  6. ^ Санди 2015 , с. 4.
  7. ^ Перейти обратно: а б с д и ж Графф, Гаррет М. (21 марта 2017 г.). «Внутри охоты на самого известного хакера России» . ПРОВОДНОЙ . Архивировано из оригинала 23 апреля 2023 года . Проверено 7 мая 2023 г.
  8. ^ Петерсон, Санди и Вернер 2015 , 7:42–7:47.
  9. ^ «ЕВГЕНИЙ МИХАЙЛОВИЧ БОГАЧЕВ» . ФБР.gov . Федеральное бюро расследований . 27 мая 2014 года. Архивировано из оригинала 23 апреля 2023 года . Проверено 5 мая 2023 г.
  10. ^ Перейти обратно: а б с д и Кребс, Брайан (25 февраля 2015 г.). «ФБР: награда в 3 миллиона долларов за автора трояна ZeuS» . Кребс о безопасности . Архивировано из оригинала 7 апреля 2023 года . Проверено 5 мая 2023 г.
  11. ^ Перейти обратно: а б с д и ж «Девять человек обвинены в заговоре с целью кражи миллионов долларов с использованием вредоносного ПО «Зевс» . Justice.gov . Министерство юстиции . 6 октября 2011 г. Архивировано из оригинала 22 апреля 2023 г. Проверено 7 мая 2023 г.
  12. ^ Перейти обратно: а б с д и ж г час О'Нил, Патрик Хауэлл (8 июля 2021 г.). «Внутри ФБР, России и Украины неудавшегося расследования киберпреступлений» . Обзор технологий Массачусетского технологического института . Архивировано из оригинала 27 апреля 2023 года . Проверено 7 мая 2023 г.
  13. ^ Перейти обратно: а б «Зачинщики мошенничества с онлайн-банком-трояном на 3 миллиона фунтов заключены в тюрьму» . Би-би-си . 1 ноября 2011 г. Архивировано из оригинала 11 июля 2021 г. Проверено 7 мая 2023 г.
  14. ^ Данн, Джон Э. (6 октября 2011 г.). «Член троянской банды Zeus попал в тюрьму за крупное мошенничество в Великобритании» . ЦСО онлайн . Архивировано из оригинала 7 мая 2023 года . Проверено 7 мая 2023 г.
  15. ^ Перейти обратно: а б с д и Кребс, Брайан (15 ноября 2022 г.). «В Женеве арестован главный подозреваемый в ботнете Zeus «Танк»» . Кребс о безопасности . Архивировано из оригинала 10 апреля 2023 года . Проверено 7 мая 2023 г.
  16. ^ «МАКСИМ ВИКТОРОВИЧ ЯКУБЕЦ» . ФБР.gov . Федеральное бюро расследований . 29 апреля 2019 года. Архивировано из оригинала 17 марта 2023 года . Проверено 5 мая 2023 г.
  17. ^ Перейти обратно: а б с Кребс, Брайан (16 декабря 2019 г.). «Внутри «Корпорации зла»: угроза киберпреступности стоимостью 100 миллионов долларов» . Кребс о безопасности . Архивировано из оригинала 23 марта 2023 года . Проверено 6 мая 2023 г.
  18. ^ Д. Неб 2019 , с. 3.
  19. ^ US v. Penchukov et al. (indictment) , 4:11CR 3074 , pp. 1–15 ( D. Neb. August 22, 2012).
  20. ^ Петерсон, Санди и Вернер 2015 , 2:45–2:53.
  21. ^ Перейти обратно: а б Кребс, Брайан (2 октября 2010 г.). «В Украине задержаны 5 человек, причастных к ограблениям электронных банковских систем в США на сумму 70 миллионов долларов» . Кребс о безопасности . Архивировано из оригинала 6 марта 2023 года . Проверено 7 мая 2023 г.
  22. ^ Петерсон, Санди и Вернер, 2015 , 6:09–7:47.
  23. ^ Перейти обратно: а б Грубер и др. 2022 , с. 9.
  24. ^ Аль-Батайне, Аридж; Уайт, Грегори (2012). «Анализ и обнаружение утечки вредоносных данных в веб-трафике». 2012 7-я Международная конференция по вредоносному и нежелательному программному обеспечению . Международная конференция по вредоносному и нежелательному программному обеспечению. Фахардо, Пуэрто-Рико: IEEE . п. 27. дои : 10.1109/MALWARE.2012.6461004 .
  25. ^ Петерсон, Санди и Вернер, 2015 , 6:09–7:47.
  26. ^ Петерсон, Санди и Вернер, 2015 , 7:47–8:13.
  27. ^ Санди 2015 , с. 4-5.
  28. ^ Санди 2015 , с. 21-22.
  29. ^ Петерсон, Санди и Вернер, 2015 , 8:19–8:33.
  30. ^ Кребс, Брайан (2 июля 2009 г.). «PC Invader обходится округу Кентукки в 415 000 долларов» . Вашингтон Пост . Архивировано из оригинала 18 сентября 2020 года . Проверено 7 мая 2023 г.
  31. ^ Фриден, Терри (1 октября 2010 г.). «ФБР объявляет об арестах по факту кибер-кражи на сумму 70 миллионов долларов» . CNN . Архивировано из оригинала 3 ноября 2022 года . Проверено 7 мая 2023 г.
  32. ^ Кребс, Брайан (4 октября 2011 г.). «Банде троянцев ZeuS грозит правосудие» . Архивировано из оригинала 7 февраля 2023 года . Проверено 7 мая 2023 г.
  33. ^ Шталь, Лесли (21 апреля 2019 г.). «Растущее партнерство между правительством России и киберпреступниками» . ЦБС . Архивировано из оригинала 18 января 2023 года . Проверено 7 мая 2023 г.
  34. ^ Петерсон, Санди и Вернер, 2015 , 41:06–41:31.
  35. ^ Д. Неб 2019 , с. 26-30.
  36. ^ Грубер и др. 2022 , стр. 9-10.
  37. ^ Лингаас, Шон (16 ноября 2022 г.). «Швейцарский арест предполагаемого украинского киберпреступника, за которым ФБР охотилось в течение десяти лет» . CNN . Архивировано из оригинала 6 мая 2023 года . Проверено 6 мая 2023 г.
  38. ^ Кребс, Брайан (4 мая 2023 г.). «10 миллионов долларов ваши, если вы сможете заставить этого парня покинуть Россию» . Кребс о безопасности . Архивировано из оригинала 6 мая 2023 года . Проверено 7 мая 2023 г.

Общие источники

[ редактировать ]
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Jabber_Zeus&oldid=1188879018"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: e99be0fc6539a1e7abe99d4174cefc96__1702007760
URL1:https://arc.ask3.ru/arc/aa/e9/96/e99be0fc6539a1e7abe99d4174cefc96.html
Заголовок, (Title) документа по адресу, URL1:
Jabber Zeus - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)