Что известно о новых русских хакерах из «Корпорации зла»

В США раскрыта деятельность хакерской группировки Evil Corp, название которой переводится как «Корпорация зла». Вокруг неё уже поднимается невероятный шум: американцы установили личности членов этой банды мошенников, и почти все они – граждане России. Против 17 физических лиц и шести компаний введены санкции Минфина США, а лидера киберпреступников связывают с Кремлём и ФСБ. Что происходит?

Автор:
Кучер Егор

Как у любого современного скандала, в котором на Западе видят «руку Кремля», в ситуации с Evil Corp в России появилось много вопросов в противовес всем тем «ответам», которые уже есть у Вашингтона. Словосочетание «новые санкции» уже никого не удивляет в России, однако именно на этот раз они вводятся не из-за воображаемого вмешательства в выборы или политических шагов Москвы, а из-за национальной принадлежности членов хакерской группировки.

Стоит отметить, что «санкциями» в полной мере карательные инициативы США назвать всё-таки сложно. Минфин США взял на прицел членов группировки и связанные с ней компании, а это вовсе не государственные предприятия. И совсем другое дело, что сами США позиционируют свои новые санкции как меры, которые должны вредить лицам, связанным с Кремлём.

Новый виток хакерского скандала оказался неожиданным для всех. Об Evil Corp подробной информации до объявления Минфина США не было. Однако всплеск ажиотажа вокруг группировки понятен: как заявляется, она действовала на протяжении 10 лет, и за это время «кремлёвские злоумышленники» похитили более 100 млн долларов из более чем 300 банков в 40 странах мира. Великобритания заявила, что экономика Королевства за эти 10 лет потеряла сотни миллионов фунтов, которые испарились в неизвестном направлении. На Западе Evil Corp называют не иначе как самой опасной хакерской группировкой всех времён.

В деле против Evil Corp появляются новые детали — раскрыты имена как лидера, так и её членов, одним из которых может быть сын бывшего мэра Химок. Лидер группировки прославился тем, что разъезжает на дорогих спорткарах с буквами «ВОР» на номерном знаке, а за его голову США назначили беспрецедентную награду.



«Корпорация зла»

Не успели ещё отгреметь страсти вокруг пресловутых «ольгинских троллей», которых некоторые в США всё ещё считают ответственными за вмешательство в выборы, как с русскими хакерами разгорается новый скандал.

5 декабря США объявили о санкциях против группировки Evil Corp. Меры действуют против 17 физических лиц и шести компаний из России. Минфин США подозревает, что цепочка компаний позволяла хакерам отмывать награбленное, а теперь, как ожидается, ни компании, ни сами лица не должны иметь возможности совершать транзакции в долларах под теми именами, которые распространены по банкам и финансовым организациям.

Группировка действует уже в течение 10 лет, считают в США. Для атак на банки по всему миру злоумышленники использовали вредоносную программу Dridex (она же — Bugat, Feodo и Cridex), которая похищала банковские учётные данные при помощи макросов для Microsoft Word (шаблоны, упрощающие работу пользователя и содержащие невидимый ему программный код, исполняемый системой). Избежать атаки было непросто — на почту приходило вложение в виде файла Word или Exel, которое при открытии устанавливало Dridex или его аналог с тем же кодом. Далее приложение выполняло сбор информации и отправляло её хакерам.

Лидером группировки назван 32-летний житель России Максим Якубец. Именно его власти Великобритании называют любителем дорогих спорткаров с номерами «ВОР». 5 декабря Reutersсообщало, что Якубец — самый опасный хакер современности, руководящий действиями Evil Corp «из подвалов московских кафе». Также его считают связанным с ФСБ. За информацию о местонахождении Якубца США назначили награду в 5 млн долларов — беспрецедентно большая сумма за данные о кибермошеннике.

«Иск против группировки Evil Corp, которую чиновники называют одной из самых опасных преступных организаций в интернете, предусматривает выплату пяти миллионов долларов за информацию о местонахождении её предполагаемого лидера Максима Якубца», — писало Reuters.

Evil Corp, как утверждается, стоит за постоянно развивающейся вредоносной программой Dridex, которая уже нанесла большой ущерб банкам и предприятиям с момента своего первого появления в 2011 году. Вредоносная программа взламывает системы банков и совершает мошеннические финансовые переводы, которые в итоге попадают к хакерам,

— говорится в том же сообщении.

Отличительная особенность Evil Corp — тот самый «троянец» Dridex и его производные. По данным профильных изданий, последняя модификация программы вышла ещё в 2017 году, однако именно она оказалась самой скрытной, так как глубоко внедрялась в код макросов, а информацию хранила в очень маленьком по размеру закодированном файле. Ни один антивирус мира не мог проследить принцип работы и предназначение файла. Этот метод в западном IT-сообществе получил название «AtomBombing Attack», что переводится как «атомная бомбардировка». Большинство пользователей не догадывались, что заражены Dridex, в то время как информация из учётных записей, включая доступ к онлайн-банкингу, оказывалась в руках Evil Corp. Дальнейшее уже было делом техники.

Западная доказательная база

Однако самое важное — это не общие данные о хакерской группировке, а то, чем западные спецслужбы доказывают вину Evil Corp и её связь с Кремлём. По последним данным, в группировку мог входить сын бывшего мэра Химок Владимира Стрельченко.

Минфин США опубликовал списоксанкционных лиц. В списке есть такая строка: «PLOTNITSKIY, Andrey (a.k.a. KOVALSKIY, Andrey Vechislavovich; a.k.a. STREL, Andrey)». То есть санкции вводятся в отношении Андрея Плотницкого, он же — Андрей Ковальский, а также Андрей под ником «Strel». Этот никнейм, как определила «Медуза», является сокращением от фамилии Стрельченко, что указывает на связь с бывшим чиновником (а американцы могут считать это указанием на связь с российским правительством).

Лидер группировки — Максим Якубец — записан в базе Минфина США под ником «Aqua». И с этого места начинается самое интересное. Минфин США публикует показания специального агента ФБР Джейкоба Фойлза суду Небраски. Агент рассказал, что спецслужбы США связали никнейм «Aqua» с Якубцем после того, как получили помощь от коллег из России.



В 2010 году американские силовики обратились к России за помощью в установлении личности человека, который пользуется почтой aquamo@mail.ru , и именно российские силовики определили, что это Якубец.

Фойлз рассказал, что спецслужбы России установили IP-адрес пользователя ящика и определили два случая обращения по нему с именем «Максим Якубец» (в одном из обращений по почте речь шла о покупке деткой коляски). Провайдер передал данные о конкретном клиенте с адресом в Москве. В 2010 году, как полагает агент ФБР, российские силовики поставили на прослушку и телефон Якубца, а затем даже провели у него обыски. Фойлз рассказал, что в США этой информации поверили, хотя в ФБР были переданы не сами улики, а документ, обобщающий данные о них.

«В письменных показаниях русских также указывается, что 24 октября 2010 года российские власти оформили ордер на обыск по адресу Якубца в Москве. В соответствии с письменными показаниями российских властей, по этому адресу они нашли Максима Якубца, его личные вещи и его подругу, которая фигурирует в документах как "Женщина 1"», — говорится в показаниях.

Однако если американский агент в показаниях говорит о том, что Якубец был известен США ещё в 2010 году, то почему его не пытались задержать, объявить в розыск или потребовать у России его выдачи? Возможный ответ состоит в том, что тогда группировка Evil Corp ещё не совершила всех своих атак и хищений, а кроме этого, американцы ждали момента для того, чтобы связать его деятельность с российскими властями.

ФБР предполагает, что в 2010 году Якубец мог быть завербован спецслужбами России и с тех пор занимался не только кражей денег, но и разрабатывал операции в политических интересах Москвы. И теперь, даже несмотря на то, что спецслужбы России сами передали ФБР данные по Якубцу, американцы «дождались» и вводят санкции, используя российские же данные.

Вашингтон также апеллирует к Великобритании, где Evil Corp подозревают в многочисленных атаках на финансовые учреждения, а также в успешной атаке на учреждения Национальной службы здравоохранения Шотландии при помощи Dridex (одна из первых атак Evil Corp).

Лондонская Times 8 декабря этого года написала, что власти Великобритании подозревают русских хакеров в утечке правительственных торговых документов в интересах Кремля. В частности, чиновники Центра правительственной связи должны по требованию кабинета министров дать показания о том, как в открытый доступ попали британские и американские секретные документы.



Times пишет, что эти документы якобы использовал лидер британских лейбористов Джереми Корбин, чтобы предъявить доказательства намерения консерваторов включить Национальную службу здравоохранения в будущие торговые сделки. Разумеется, это не понравилось консерваторам.

Документы Департамента международной торговли были выложены на сайт Reddit, на три немецких сайта, а также в Twitter. Документы имели похожий шаблон распространения, включая орфографические ошибки, что указывает на «русское происхождение».

Выводы

Для полного понимания вопроса следует рассмотреть также личность Дениса Гусева, которого Минфин США считает связанным с хакерами. Вашингтон ввёл санкции против его компаний ООО «Вертикаль» и ООО «ЮНИКОМ», зарегистрированных в городе Когалым в Ханты-Мансийском автономном округе (Югре).

Американцы считают, что Гусев помогал Evil Corp выводить деньги. По данным спецслужб США, у Гусева есть два иностранных паспорта — молдавский и израильский. В первом значится имя Марина Поможака, второй — Давида Готмана. Сам предприниматель уже отверг все обвинения и заявил, что его «перепутали» с полным тёзкой.

В сухом остатке мы имеем, действительно, влиятельную группировку хакеров, которые имеют российскую «прописку». Однако следует учитывать, что власти России шли на сотрудничество с ФБР по Якубцу и фактически сдали его американцам. Связи последнего с Кремлём прослеживаются нечётко, а обвинения построены на догадках, как в Великобритании. И совсем другое дело, что сам вирус Dridex — широко известен в мире, как и его клоны. Evil Corp существует и атакует, а большинство краж средств совершено в США, а не в Европе.

Именно поэтому на данном этапе речь идёт, скорее, об очередных намеренных выпадах в адрес Москвы. Телеканал CBS, например, сделал громкий репортаж, где показал сына экс-мэра Химок, Lamborghini в камуфляжной расцветке с буквами «ВОР» и ряд фотографий хакеров с деньгами, а также видео, снятое во время дрифта на спорткарах по смотровой площадке МГУ на Воробьёвых горах в Москве.

Власти России отвергли все обвинения в хакерских атаках и связях с какими-либо мошенниками. Мы добавим, что если бы Evil Corp не только работала на Кремль, но и делала это с той же эффективностью, как крала деньги из банков по всему миру, то, возможно, сегодня очень многое выглядело бы иначе.

Источник: bazaistoria.ru

уникальные шаблоны и модули для dle