Борьба с киберпреступностью в наши дни — уже далеко не миф, а суровая
реальность. Прошли времена, когда спецслужбы не знали, с какого конца
подступиться к Сети. Эта история представляет собой яркую иллюстрацию того, что
спецслужбы многому научились и порой занимаются действительно полезными вещами.
Операция Trident Breach
В октябре месяце из пресс-релизов ФБР весь мир узнал о масштабной
международной операции Trident Breach (дословно: "удар трезубцем"), в ходе
которой в Великобритании, США и Украине были задержаны более ста человек,
участвовавшие в деятельности крупного ZeuS-ботнета.
О троянце по имени
ZeuS ты
наверняка уже слышал; мы посвятили этому зловреду не одну статью и заметку. На
всякий случай напомню, что ZeuS, также известный на просторах сети как Zbot, PRG,
Wsnpoem, Gorhax и Kneber — это своего рода последний писк моды и популярнейший
тренд в киберкриминальной среде. Данный инструментарий пользуется на черном
рынке огромным спросом, регулярно обновляется, защищен от нелегального
использования почище лицензионного софта и является настоящей головой болью для
всех IT-безопасников планеты. Авторов этой софтины безуспешно ищут уже довольно
долгое время. А когда не получается найти авторов и вырвать "корень зла",
приходится бороться не с причиной, а со следствиями. Особенно когда следствия
приобретают угрожающий размах.
Расследование, предвосхищавшее массовые аресты, началось около полутора лет
назад, в мае 2009 года. Тогда в ходе работы над делом о краже средств с 46
разных банковских счетов агенты ФБР из города Омаха, штат Небраска, нащупали
"связующее звено" — они обнаружили отчетливые следы деятельности ZeuS-ботнета.
Федеральное бюро расследований быстро сопоставило имеющиеся на руках факты и
пришло к выводу, что масштаб бедствия велик. "Федералы" незамедлительно
связались с местной полицией, своим аналогом Отдела "К" (то есть с парнями,
которые занимаются именно расследованием киберпреступлений), другими
американскими спецслужбами, а затем наладили контакт и со своими зарубежными
коллегами из Украины, Великобритании и Нидерландов. Сразу скажем, что
голландская полиция была привлечена к делу исключительно из-за того, что
злоумышленники использовали некие компьютерные ресурсы Нидерландов.
Вскоре ситуация начала проясняться. Схема, которую использовали сетевые
мошенники, оказалась проста, как три копейки. Основной мишенью этих чуваков
являлись отнюдь не крупные банки и корпорации — они метили в небольшие
организации, муниципальные предприятия, церкви, больницы, а также в редких
частных лиц в основном на территории США. Заражение компьютеров жертв
происходило практически дедовским методом: мошенники использовали целевые
вредоносные e-mail-рассылки (письма несли "на борту" ссылки на ZeuS). Как только
ничего не подозревающие граждане открывали такое письмо и проходили по линку,
вирь вламывался в систему и делал там свое черное дело — собирал номера счетов,
логины, пароли и прочие конфиденциальные данные, связанные с банковскими
аккаунтами. Хозяева ботнета, заполучив эту информацию на руки, сумели добраться
до огромного количества счетов. ФБР сообщает, что таким образом были
осуществлены попытки кражи около $220 млн., но так как не все они были
успешными, реально преступники (по предварительной оценке) сумели заполучить
около $70 млн. Учти, что делалось все весьма аккуратно: ФБР утверждает, что
преступники старались не снимать более нескольких тысяч долларов за раз.
Размах уже впечатляет, правда? Дальше — больше. Как уже было сказано выше,
корни этой преступной группировки вели в Украину и другие страны Восточной
Европы, а сеть так называемых "мулов" (от английского money mule — "денежный
мул") — людей, которые переправляли краденые деньги владельцам ботнета (в
кардерской терминологии — дропов) — как выяснилось позже, насчитывала несколько
сотен человек.
Как это работает
Большинству граждан, арестованных в ходе операции Trident Breach, от 20 до 25
лет, и все они, по сути, являются низшим звеном в структуре работы ботнета.
Когда (и если) кража средств с очередного счета проходит успешно, деньги утекают
отнюдь не прямиком в загребущие руки хозяев зомби-сети. Это было бы слишком
просто, рискованно и примитивно. Здесь в игру и вступают "мулы", они же "дропы".
В случае, о котором мы говорим сегодня, в этой роли в основном выступали...
студенты из Молдавии, Украины, России, Белоруссии и Казахстана, находящиеся в
США по визе J-1, то есть по программе Work&Travel. Для тех, кто не знает: W&T
позволяет молодежи какое-то время с пользой жить на территории США, работая,
общаясь с носителями языка и так далее. Одним словом, учебный и культурный
обмен. Арестованным "студентам" такая программа поездки явно казалась
скучноватой, раз они решили предложить себя кибермошенникам в качестве дропов.
Как это реализовано? Опять же, довольно просто. Вербуют таких "красавцев"
обычно по Сети, например, через социальные сети (в нашем случае ФБР пока
отказывается разглашать название социальной сети, где происходила вербовка). За
работу им предлагают некий процент от обналиченных сумм, обычно в рамках 5-20%
от перевода. Далее возможны варианты. Либо, въехав в США, "мулы" самостоятельно
открывают поддельные банковские счета, на которые и уходят ворованные деньги.
Либо же фэйковые счета дропу предоставляет сам работодатель: например, "мулу"
просто присылают по почте пластиковую карту с PIN-кодом. Зачастую в деле также
замешаны поддельные документы всех мастей. Далее задача "мула" элементарна —
нужно снимать наличность и передавать ее своим "хозяевам".
За примерами этих схем не нужно ходить далеко. В ходе операции Trident Breach
ФБР внедрило одного из своих агентов в мошенническую сеть именно в качестве
дропа. Через российскую социальную сеть (все общение происходило на русском)
агент нашел "работодателя", скрывавшегося под ником Jack Daniels. Jack Daniels,
который впоследствии оказался 26-летним гражданином РФ Антоном Юферицыным,
предложил следующую "работу": требовалось открыть в США несколько банковских
счетов, получать на них переводы и обналичивать деньги. Под пристальным
наблюдением ФБР все было выполнено, да так хорошо, что замаскированный агент
даже сумел лично встретиться с Юферицыным. "Работодатель" вдруг решил воочию
обсудить со "студентом" перспективу открытия бизнес-счета, на которой можно было
бы переводить больше денег. Очевидно, в ходе этой первой встречи Jack Daniels
ничего не заподозрил, так как вскоре на счет подставного "мула" поступил первый
перевод в размере $9983. Через несколько дней Jack Daniels назначил агенту
повторную встречу, на этот раз уже непосредственно для передачи денег. В ходе
этого действа Юферицын и был благополучно арестован.
Ему предъявили обвинение в сговоре с целью мошенничества, свою вину Jack
Daniels признал и даже дал показания против других участников группировки. Но
самое интересное в том, что на данный момент Антону Юферицыну уже вынесен
приговор, и он оказался удивительно мягок: 10 месяцев тюрьмы и $38 314 штрафа.
Дело в том, что обвинение до последнего настаивало на максимальном наказании в
20 лет лишения свободы и штрафе в $500 000. Можно предположить, что Юферицына
либо поймали существенно раньше, чем было объявлено официально, либо же он очень
рьяно сотрудничал после ареста :).
Как уже было сказано выше, большинство арестованных занимали отнюдь не
ключевые посты в преступной группировке. Большинство из тех, кому предъявили
обвинения или арестовали — простые дропы. Только в США было арестовано 39
человек, а в целом обвинения предъявлены 92 людям! В пресс-релизах, выпущенных
по этому поводу Федеральным бюро расследований, подробно рассказано практически
о каждом конкретном случае. К примеру, сообщается, что гражданин РФ Максим
Мирошниченко вербовал дропов, сам открыл как минимум пять поддельных счетов в
банках TD Bank, Chase Bank, Bank of America и Wachovia, а также пользовался
поддельными паспортами и имел контакты с хакерами и лицами, которые могли помочь
оформить поддельные документы другим членам организации. Остальные случаи
похожи, как две капли воды: это или "мулы", или вот такие, в общем-то, мелкие
координаторы. Обвинения им были предъявлены самые разные — от сговора с целью
совершения банковского мошенничества и просто банковского мошенничества до
отмывания денег, подделки документов, использования поддельных документов и
незаконного использования паспортов. Тюремные сроки и штрафы всем грозят крайне
серьезные: от 10 до 30 лет и от $250 000 до $1 млн. соответственно. Впрочем,
неизвестно, удастся ли обвинению настоять на своем, или получится как с
Юферицыным.
Однако, помимо сотни дропов, пойманных американцами, еще 20 человек было
арестовано в Великобритании (также было проведено восемь обысков) и еще пятеро в
Украине. И если в Соединенном Королевстве ситуация почти аналогична
американской, то с украинцами все несколько сложнее. Дело в том, что, согласно
сообщениям ФБР и украинского СБУ, здесь, похоже, поймали самую верхушку
группировки — организаторов всей вышеописанной схемы. Нет, разумеется, авторов
злосчастного ZBot среди арестованных не было (хотя, по мнению многих экспертов и
представителей спецслужб, малварь создан именно в странах Восточной Европы).
Информации об этих пятерых вообще пока крайне мало, однако известно, что у ФБР
есть основания полагать, что руководители ботнета контактировали с
разработчиками ZeuS, которые делали им на заказ особые версии инструментария.
Все вышеизложенное, конечно, далеко не конец истории. В розыске до сих пор
находится не один десяток человек, впереди наверняка не один обыск, арест, а
также куча судебных разбирательств. Но, как бы то ни было, операция Trident
Breach наглядно доказывает, что спецслужбы мира все же могут "найти подход" к
ботнетам и умеют арестовывать не только "мулов", но и людей, стоящих в
преступной иерархии повыше. И пусть мы с тобой понимаем, что эта сотня с
небольшим человек — капля в море, а $70 млн. — жалкие крохи от исчезающих в
неизвестных направлениях миллиардов, для спецслужб это все равно почти
невиданный размах, да и в целом неплохая тенденция.