Власти Южной Кореи передали 38-летнего россиянина Владимира Дунаева правоохранительным органам США в соответствии с запросом об экстрадиции. Дунаев подозревается в разработке малвари TrickBot, а именно ее браузерного компонента. В США ему грозит до 60 лет тюрьмы.
Напомню, что Дунаев был арестован в Сеуле еще в сентябре текущего года, его взяли при попытке уехать из Южной Кореи, где он провел более полутора лет из-за пандемии коронавируса. В Южную Корею Дунаев прибыл еще в феврале 2020 года. Изначально он собирался покинуть страну довольно быстро, но началась пандемия COVID-19, и власти страны запретили международные поездки. Когда ограничения на авиаперелеты наконец были сняты, срок действия паспорта подозреваемого истек, и в результате он был вынужден жить в однокомнатной квартире в Сеуле, ожидая, пока российское посольство подготовит документы на замену.
Пока подозреваемый ждал замены паспорта, американские власти начали официальное расследование в отношении TrickBot. Хотя операция по ликвидации малвари, проведенная осенью 2020 года, в итоге закончилась неудачей, вскоре власти США сумели арестовать 55-летнюю гражданку Латвии Аллу Витте, которая, по утверждению следователей, была одним из программистов TrickBot.
Считается, что Дунаев был связан с группировкой TrickBot с середины 2016 года, когда прошел «тестовое задание» хакеров, которое включало создание приложения, имитирующего сервер SOCKS, а также модифицировал копии браузера Firefox. Согласно судебным документам, тест он прошел блестяще, продемонстрировав навыки, необходимые злоумышленникам. «Он способен на все. Такой человек нам нужен», — писали члены хак-группы.
В обвинительном заключении сказано, с 2016 года Дунаев успел поработать над разными компонентами TrickBot:
| Дата | Чем занимался |
| Июль 2016 года — время ареста | Модификация браузера Firefox. |
| Декабрь 2016 года — время ареста | Машинные запросы, которые позволяют TrickBot определять производителя, имя, продукт, серийный номер, версию и содержимое корневого файлового каталога зараженной машины. |
| Август 2016 — декабрь 2018 | Код, который извлекает и сохраняет из браузера его название, ID, тип, файлы конфигурации, файлы cookie, историю, локальное хранилище, Local Shared Objects/LSO (Flash cookies). |
| Октябрь 2016 г ода — время ареста | Код, который ищет, импортирует и загружает файлы в папки «профиля» браузера; они включают файлы cookie, историю, файлы cookie Flash LSO. Также код отвечает за подключение к базам данных браузера, чтобы совершать запросы и изменять их. |
| Июль 2016 года — время ареста | Исполняемое приложение, утилита для запуска и управления браузером. |
| Июль 2016 года — время ареста | Код, который собирает и подменяет записи в базе данных Google Chrome LevelDB, включая историю просмотров. |
Согласно все тому же обвинительному заключению, группировка TrickBot состоит как минимум из 17 участников, каждый из которых занимается своими вопросами.
- Менеджер малвари: определяет потребности в программировании, управляет финансами, развертывает TrickBot.
- Разработчики малвари: создают модули для TrickBot и передают их другим членам группы для шифрования.
- Крипторы: шифруют модули TrickBot, чтобы избежать обнаружения защитными продуктами.
- Спамеры: распространяют TrickBot через спамерские и фишинговые кампании.
Помимо Дунаева и Аллы Витте, Министерство юстиции США предъявило обвинения другим участнкиам TrickBot, имена которых не разглашаются. Подозреваемые находятся в разных странах, в том числе в России, Беларуси и Украине.
Самому Дунаеву были предъявлены обвинения в заговоре с целью совершения компьютерного мошенничества и кражи личных данных при отягчающих обстоятельствах, а также в заговоре с целью совершения банковского и финансового мошенничество, сговоре с целью отмывания денег, а также многочисленные случаи мошенничества с использованием электронных средств связи, случаи финансового мошенничества и кражи личных данных при отягчающих обстоятельствах.
Если его признают виновным по всем пунктам обвинения, ему грозит лишение свободы сроком на 60 лет.
