Твитнуть
Судья окружного суда США в Атланте на прошлой неделе вынес пятилетний тюремный срок марку Вартаняну, российскому хакеру, который помог развить и продать некогда печально известного и широко распространенного трояна Citadel. Об этом сообщают бесчисленные СМИ, но гораздо менее известный - это захватывающая предыстория о том, как попался Вартанян.
В течение нескольких лет Citadel управляла сценой вредоносного ПО для преступников, занимающихся кражей онлайн-банковских паролей и опорожнением банковских счетов. Прокуроры США говорят, что Citadel заразил более 11 миллионов компьютеров по всему миру, в результате чего финансовые потери составили не менее полумиллиарда долларов.
Как и большинство сложных банковских троянов, Citadel продавалась и продавалась на анегрундных рынках киберпреступности. Часто самый трудоемкий и дорогостоящий аспект продаж и разработки вредоносных программ помогает клиентам в любых проблемах с технической поддержкой, которые могут возникнуть при использовании криминалистики.
В свете этого одним из нововведений, которые Citadel привнес, было то, что он использовал некоторые из этих вспомогательных работ, облегчая нагрузку на разработчиков вредоносных программ и освобождая их, чтобы тратить больше времени на улучшение своих творений и добавление новых функций.
Пользователи Citadel обсуждают преимущества включения модуля для удаления других багов с хост-компьютеров.
Citadel похвастался онлайн-технической поддержкой для клиентов, которые позволяли им записывать отчеты об ошибках, предлагать и голосовать за новые функции в предстоящих версиях вредоносных программ, а также отслеживать билеты на проблемы, которые могут быть обработаны разработчиками вредоносных программ и другими пользователями Citadel. Клиенты Citadel также могли использовать систему для чата и сравнения заметок с другими пользователями вредоносного ПО.
Именно этот интерактивный характер инфраструктуры поддержки Citadel, которую агенты ФБР в конечном счете использовали, чтобы найти и идентифицировать Вартаняна, который прошел по прозвищу «Kolypto». Прозвище основного продавца Citadel было «Aquabox», и ФБР стремилось идентифицировать Aquabox и любых программистов, которых он нанял, чтобы помочь в развитии Цитадели.
В июне 2012 года агенты ФБР купили несколько лицензий Citadel от Aquabox, и вскоре агенты предлагали хитрости к вредоносному ПО, которое они могли использовать в своих интересах. Представляя себя активным пользователем вредоносного ПО, агенты FBI сообщили разработчикам Citadel, что они обнаружили уязвимость в веб-интерфейсе, который клиенты Citadel использовали для отслеживания и сбора паролей из зараженных систем
Аквабокс повелся на приманку и попросил агентов ФБР загрузить снимок с найденной ошибкой. Как отмечалось в отчете от сентября 2015 года, агенты ФБР загрузили изображение на файлообменник ** Sendspace.com **, а затем сверили вызовы журналов из Sendspace, чтобы узнать интернет-адрес пользователя, который позже просмотрел и загрузил файл.
IP-адрес вернулся как тот же, который они ранее привязали к Aquabox. Другой адрес, который обратился к файлу, был в Украине и привязан к Вартаняну. Прокуроры сказали, что вскоре в адрес Вартаняна было замечено, что он отправил в Sendspace исправленную версию Citadel, которая предположительно исправила уязвимость, идентифицированную агентами, представляющими пользователей Citadel.
«В период с августа 2012 года по январь 2013 года было всего 48 файлов, загруженных с IP Марка в Sendspace», - говорится в норвежской ежедневной версии VG. «Эти файлы были загружены« Aquabox »с двумя IP-адресами (193.105.134.50 и 149.154.155.81)».
Следователи узнали, что Вартанян был гражданином России, выросшим в Украине. Во время его ареста Марк жил в Норвегии, которая впоследствии выдала его в Соединенные Штаты для преследования. В марте 2017 года Вартанян признал себя виновным в одном факте компьютерного мошенничества и был приговорен 19 июля до пяти лет в федеральной тюрьме.
Другой разработчик Citadel, Дмитрий Белоросов (a.k.a. «Rainerfox»), был арестован и приговорен в 2015 году к четырем годам и шести месяцам тюрьмы после признания вины в распространении Цитадели.
(с)Блог Кребса
В течение нескольких лет Citadel управляла сценой вредоносного ПО для преступников, занимающихся кражей онлайн-банковских паролей и опорожнением банковских счетов. Прокуроры США говорят, что Citadel заразил более 11 миллионов компьютеров по всему миру, в результате чего финансовые потери составили не менее полумиллиарда долларов.
Как и большинство сложных банковских троянов, Citadel продавалась и продавалась на анегрундных рынках киберпреступности. Часто самый трудоемкий и дорогостоящий аспект продаж и разработки вредоносных программ помогает клиентам в любых проблемах с технической поддержкой, которые могут возникнуть при использовании криминалистики.
В свете этого одним из нововведений, которые Citadel привнес, было то, что он использовал некоторые из этих вспомогательных работ, облегчая нагрузку на разработчиков вредоносных программ и освобождая их, чтобы тратить больше времени на улучшение своих творений и добавление новых функций.
Пользователи Citadel обсуждают преимущества включения модуля для удаления других багов с хост-компьютеров.
Citadel похвастался онлайн-технической поддержкой для клиентов, которые позволяли им записывать отчеты об ошибках, предлагать и голосовать за новые функции в предстоящих версиях вредоносных программ, а также отслеживать билеты на проблемы, которые могут быть обработаны разработчиками вредоносных программ и другими пользователями Citadel. Клиенты Citadel также могли использовать систему для чата и сравнения заметок с другими пользователями вредоносного ПО.
Именно этот интерактивный характер инфраструктуры поддержки Citadel, которую агенты ФБР в конечном счете использовали, чтобы найти и идентифицировать Вартаняна, который прошел по прозвищу «Kolypto». Прозвище основного продавца Citadel было «Aquabox», и ФБР стремилось идентифицировать Aquabox и любых программистов, которых он нанял, чтобы помочь в развитии Цитадели.
В июне 2012 года агенты ФБР купили несколько лицензий Citadel от Aquabox, и вскоре агенты предлагали хитрости к вредоносному ПО, которое они могли использовать в своих интересах. Представляя себя активным пользователем вредоносного ПО, агенты FBI сообщили разработчикам Citadel, что они обнаружили уязвимость в веб-интерфейсе, который клиенты Citadel использовали для отслеживания и сбора паролей из зараженных систем
Аквабокс повелся на приманку и попросил агентов ФБР загрузить снимок с найденной ошибкой. Как отмечалось в отчете от сентября 2015 года, агенты ФБР загрузили изображение на файлообменник ** Sendspace.com **, а затем сверили вызовы журналов из Sendspace, чтобы узнать интернет-адрес пользователя, который позже просмотрел и загрузил файл.
IP-адрес вернулся как тот же, который они ранее привязали к Aquabox. Другой адрес, который обратился к файлу, был в Украине и привязан к Вартаняну. Прокуроры сказали, что вскоре в адрес Вартаняна было замечено, что он отправил в Sendspace исправленную версию Citadel, которая предположительно исправила уязвимость, идентифицированную агентами, представляющими пользователей Citadel.
«В период с августа 2012 года по январь 2013 года было всего 48 файлов, загруженных с IP Марка в Sendspace», - говорится в норвежской ежедневной версии VG. «Эти файлы были загружены« Aquabox »с двумя IP-адресами (193.105.134.50 и 149.154.155.81)».
Следователи узнали, что Вартанян был гражданином России, выросшим в Украине. Во время его ареста Марк жил в Норвегии, которая впоследствии выдала его в Соединенные Штаты для преследования. В марте 2017 года Вартанян признал себя виновным в одном факте компьютерного мошенничества и был приговорен 19 июля до пяти лет в федеральной тюрьме.
Другой разработчик Citadel, Дмитрий Белоросов (a.k.a. «Rainerfox»), был арестован и приговорен в 2015 году к четырем годам и шести месяцам тюрьмы после признания вины в распространении Цитадели.
(с)Блог Кребса
Комментарий