Хакерскую группировку Evil Corp называют самой вредоносной и самой наглой среди киберпреступников. За сведения о ее членах американское правительство назначило награду в 5 миллионов долларов, а СМИ обсуждают слухи об их роскошном образе жизни и возможных связях с российскими спецслужбами. Мы постарались поподробнее разобраться в истории этой хакерской группы, образе действий и инструментах, с помощью которых она достигла своих сомнительных успехов и признания.

Главой Evil Corp называют Максима Якубца. Правоохранительные органы разных стран разыскивают его вот уже более десяти лет — еще в 2009 году он привлек к себе внимание, участвуя под ником aqua в краже денег из казны округа Буллитт, штат Кентукки. Об этом преступлении писали в газете Washington Post, с которой тогда сотрудничал в качестве эксперта по кибербезопасности Брайан Кребс.

Скриншот из архива Брайана Кребса с форума DirectConnections, на котором aqua в 2011 году делился опытом
Скриншот из архива Брайана Кребса с форума DirectConnections, на котором aqua в 2011 году делился опытом
 

Криминальный зоопарк: денежные мулы и козлы отпущения

Уже тогда у хакеров была отработанная схема действий, в которой Максим Якубец отвечал за работу с «денежными мулами». Так называют людей, которые выводят деньги из банковской системы (где все переводы отслеживаются и могут быть отозваны), совершая необратимые транзакции. Традиционно для мошеннических схем использовалась система Western Union, но в последнее время набирает популярность криптовалюта Bitcoin.

 

Любопытный факт

Western Union фигурирует в качестве посредника в огромном числе историй с отмыванием денег, мошенничеством и даже финансированием терроризма. Иногда они платят штрафы — американскому правительству полмиллиарда долларов, ирландскому — полтора миллиона евро. Платят и продолжают работать, не обращая внимания на обвинения в «недостаточно тщательном отслеживании подозрительных транзакций». Почему им это сходит с рук? Никто не знает наверняка, но, возможно, это как-то связано с их чрезвычайно длительным и плодотворным сотрудничеством с американским правительством. Western Union работала над оборонными заказами, которые имеют отношение к созданию систем связи и управлению ими. Такие дела.

Многие люди становятся «мулами», совершенно не представляя, чем они занимаются на самом деле и каковы могут быть последствия их действий. В «схеме Якубца» в «мулы» вербовали на абсолютно легальных сайтах с вакансиями, обещая работу из дома от имени небольших, но солидно выглядящих компаний. Более того, для проверки работоспособности и надежности кандидатов им давали предварительные задания — например, исправить опечатки и грамматику в текстах, обещая заплатить по 8 долларов за килобайт. Текстами же были деловые письма — от лица подставной компании хакеров в адрес ее подрядчиков. Так что, когда людям приходило письмо с заданием совершить денежный перевод, оставив себе 5% от суммы в качестве оплаты, они не удивлялись и выполняли такое задание.

Удивляться им, разумеется, приходилось потом, когда оказывалось, что теперь они должны всю сумму перевода какому-нибудь банку. Ведь банк всегда может отследить и отозвать ошибочные транзакции — и всегда найдет, с кого взыскать недостающее. Таким образом, финансовую ответственность за деятельность русских и украинских хакеров в итоге приходилось нести американским и европейским домохозяйкам и пенсионерам.

 

Новички и ветераны: след Зевса с Олимпа киберпреступности

В истории с казной округа Буллитт двадцатидвухлетний Максим Якубец был тесно связан с Евгением Богачевым — уже тогда чрезвычайно известным хакером, автором трояна Zeus. За поимку этого персонажа ФБР назначило почти столь же впечатляющую награду, как и за Якубца.

Ни одна статья с упоминанием Евгения Богачева не может обойтись без этого фото с бенгальской кошкой и другими атрибутами роскошной жизни
Ни одна статья с упоминанием Евгения Богачева не может обойтись без этого фото с бенгальской кошкой и другими атрибутами роскошной жизни

Именно в связи с этим инцидентом о них и узнал Брайан Кребс. К тому моменту он уже давно был завсегдатаем открытых, полузакрытых и совсем закрытых хакерских форумов. Были у него и какие-то прямые источники, которые предоставляли ему информацию из переписки хакеров.

 

Откуда дровишки?

Разумеется, как Кребс, так и ФБР не раскрывают подробностей своих расследований и источники информации. Но на сайте Кребса приводятся множественные куски из логов Jabber-переписки хакеров, и эта же переписка цитируется в документах ФБР как важное свидетельство. Переписка, разумеется, велась на русском (который Кребс, кстати, изучает уже больше пятнадцати лет) — но что на сайте Кребса, что в официальных документах ФБР она дана в переводе на английский. И судя по всему, у Кребса и ФБР этот перевод одинаковый (максимально связные предложения и тщательно переведенные русские ругательства).

Что в переписке, что на форумах хакеры использовали одни и те же привычные никнеймы. Кребс утверждает, что такая небрежность в этих кругах встречается очень часто (что изрядно облегчает ему отслеживание «карьерного роста» интересующих его игроков на арене киберпреступности). Богачев был lucky12345 или slavik, а Якубец — aqua.

 

Zeus

Zeus — многокомпонентный банковский трой, насчитывающий множество модификаций. Основная функция заключается в краже паролей от банковских приложений, FTP-клиентов, других программ. Троян может выполнять поступающие с управляющего сервера команды, перехватывать вводимые пользователем в браузерах данные (кейлоггинг и формграббинг), красть файлы cookies, устанавливать в системе цифровые сертификаты и удалять их, блокировать доступ к заданным киберпреступниками интернет-ресурсам, подменять стартовую страницу в браузерах, загружать и запускать программы, а также удалять файлы на жестком диске.

Хакеры не просто обсуждали покупку у Богачева «базовой версии» его трояна Zeus — они заказали ему модифицированную версию, Jabber Zeus, которая пересылала похищенную банковскую информацию по протоколу Jabber. Это позволяло злоумышленникам крайне оперативно планировать свои действия и управлять своей широко раскинутой сетью троянов — например, они могли получать Jabber-сообщения о том, что какая-то из их потенциальных жертв пополнила свой банковский счет.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Check Also

Вирус для Windows. Создаем простейшую вредоносную программу на ассемблере

Конструирование вирусов — отличный стимул изучать ассемблер. И хотя вирус, в принципе, мож…

5 комментариев

  1. Аватар

    djtimtimtim

    31.01.2020 at 15:42

    Бендерская и Якубец и этих хохлов покрывает российское ФСБ….

  2. Аватар

    Asylum

    31.01.2020 at 17:15

    Брайан Кребс выдающаяся личность, он наверное интереснее чем все современные хакеры, вместе взятые.

  3. Аватар

    Laglag

    01.02.2020 at 18:50

    На одно нужно обратить внимание что mail сын шлюхи слил все с потрахами.

  4. Аватар

    jogick

    01.02.2020 at 20:31

    Вот интересно, почему товарищи негодяи не применяли шифрование в такой переписке, да ещё и через mail.ru?

Оставить мнение