Как война в Украине помогла ФБР раскрыть крупное дело о киберпреступлениях

Как война в Украине помогла ФБР раскрыть крупное дело о киберпреступлениях

Через три недели после того, как в конце февраля Россия начала сбрасывать бомбы на Украину, талантливый молодой программист по имени Марк Соколовский забрался в Porsche Cayenne со своей девушкой, спасаясь от боевых действий.

Пара прошла через Польшу, а затем через Германию, прежде чем остановиться в Нидерландах, где, по их мнению, они были в безопасности. Мало ли они знали, что Федеральное бюро расследований США и следователи в Европе следили за ними все это время.

Имя 26-летнего Соколовского было вынесено в конце прошлого года в закрытом уголовном обвинительном заключении в федеральном суде Техаса, в котором утверждалось, что он был ключевой фигурой в создании вредоносного ПО, известного как Raccoon Infostealer, которое, по словам прокуратуры, заразило миллионы компьютеров по всему миру, похитив учетные данные для входа в систему и деньги. бесчисленных жертв.

Через несколько дней после того, как Соколовский перебрался в страну, голландская полиция арестовала его в Амстердаме по обвинению в компьютерном мошенничестве, мошенничестве с использованием электронных средств связи, отмывании денег и краже личных данных. Ему грозит более 20 лет тюремного заключения, если он будет признан виновным, и он остается под стражей в Нидерландах, борясь с процедурами экстрадиции, в результате которых он был бы отправлен в Соединенные Штаты.

Сообщение, оставленное Нильсом Ван Шайком, голландским адвокатом, который представлял Соколовского в деле об экстрадиции, не было немедленно возвращено.

Дело было закрыто до прошлой недели, когда власти объявили об аресте Соколовского в рамках усилий по розыску возможных жертв. По словам следователей, после его ареста им удалось взломать гигантский кеш украденных данных, насчитывающий миллионы адресов электронной почты и логинов.

See also  Русско-украинские военные новости: оперативные обновления

В рамках своего объявления прокуратура и ФБР объявили о создании веб-сайта, на котором люди, подозревающие, что они могут быть жертвами, могут проверить, не содержится ли их личная информация среди данных, обнаруженных следователями.

«Это очень, очень крупное глобальное дело», — сказала Эшли Хофф, прокурор США в Западном округе Техаса, где было возбуждено дело.

«Мы воруем, вы торгуете»

Raccoon Infostealer — это все более популярный класс программ под названием Malware-as-a-Service или MaaS. Программисты, разрабатывающие программу Maas, обычно сами не крадут информацию людей, а вместо этого лицензируют программное обеспечение другим киберпреступникам, которые используют его для обмана людей. Копии всей украденной информации также хранятся у оператора Raccoon.

Эксперты по киберпреступности говорят, что, как и все виды законного программного обеспечения, Raccoon Infostealer предлагает круглосуточную поддержку клиентов и часто выпускает обновления программного обеспечения. Это стоит 75 долларов в неделю или 200 долларов в месяц.

Raccoon Infostealer впервые появился в начале 2019 года и изначально предлагался для продажи на популярных у киберпреступников русскоязычных платформах, а позже и на англоязычных. Назвав себя лозунгом «Мы воруем, вы занимаетесь», он стал хитом и быстро попал в поле зрения экспертов по кибербезопасности.

«Поскольку он распространяется как MaaS или Malware-as-a-Service, он используется не одним злоумышленником или группой, а несколькими киберпреступниками, поэтому он довольно широко распространен», — сказал Олег Скулкин из Group-IB, кибербезопасность. Сингапурская компания. «Большинству киберпреступников гораздо проще купить или арендовать вредоносное ПО. Это дешевле.”

В марте, вскоре после ареста Соколовского, операторы Raccoon разослали клиентам сообщения о том, что им необходимо закрыться, потому что война России на Украине нарушила работу.

«К сожалению, из-за «спецопераций» нам пришлось закрыть наш проект Raccoon Stealer», — заявили в группе. «Члены нашей команды, ответственные за критически важные компоненты продукта, больше не работают с нами. Спасибо за этот опыт и время, за каждый день, к сожалению все, рано или поздно конец света приходит к каждому».

See also  Война, в которой выиграет Россия: The Tribune India

В России — особенно в первые дни вторжения в Украину — президент Владимир Путин заставлял людей использовать термин «специальные операции» для описания вторжения. Тем, кто называет это войной или вторжением, грозит значительное тюремное заключение.

В то время как многие в сфере кибербезопасности интерпретировали заключительное сообщение Раккуна как означающее, что главный программист был убит в первые дни битвы, это, вероятно, было отсылкой к поимке Соколовского.

Оператор Raccoon не сразу ответил на сообщение с просьбой прокомментировать ситуацию. После известий об аресте Соколовского на прошлой неделе они выступили с заявлением, что не знали его лично и что, когда он исчез в марте, «конечно, мы думали о худшем».

По словам экспертов, несколько месяцев спустя была перезапущена новая версия скомпрометированного программного обеспечения с некоторыми заметными изменениями в программном обеспечении.

на ходу

Соколовский родом из Харькова на востоке Украины и учился там. В первые дни войны город подвергся бомбардировке русскими войсками.

В сентябре украинские силы наступали на части Харьковской области страны, отбивая удерживаемые русскими города. Фото: Хуан Баррето/AFP/Getty Images

Согласно сообщению в блоге Брайана Кребса, уважаемого репортера и аналитика по кибербезопасности, властям удалось подключить Соколовского к Raccoon через его AAPL iCloud.
-1,75%
учетная запись, которая использовалась для настройки определенных учетных записей, прикрепленных к вредоносным программам.

Это позволило властям отслеживать перемещения Соколовского, сообщил Кребс. Это также позволило им восстановить фотографию Соколовского, держащего большую кучу денег рядом со своим лицом.

В течение нескольких месяцев следователи наблюдали, как Соколовский курсирует между Харьковом и украинской столицей Киевом. Затем, в конце марта, он появился в Польше, недалеко от границы с Германией. На фотографии Соколовский едет в Германию на Porsche Cayenne со своей девушкой на пассажирском сиденье.

В то время украинских мужчин моложе 60 лет не выпускали из Украины, так как их вербовали для борьбы с русскими оккупантами. Следователи полагают, что Соколовский мог подкупить свой выезд из страны, сообщил Кребс.

Через несколько дней властям удалось задержать Соколовского в Амстердаме после того, как его подруга опубликовала их совместную фотографию в Instagram, сообщил Кребс.

В сентябре голландский суд удовлетворил ходатайство США об экстрадиции Соколовского в Техас для предъявления обвинений, но он обжаловал приговор.

Глобально в пределах досягаемости

Прокуратура заявила, что хотя Соколовский играл ключевую роль в разработке программы «Енот», у него было несколько сообщников. Власти Италии и Нидерландов помогают в расследовании, заявили прокуроры.

По словам прокуроров, среди данных, обнаруженных ФБР, было около 50 миллионов уникальных учетных данных, включая адреса электронной почты, логины банковских счетов, адреса криптовалют и номера кредитных карт. Они говорят, что не верят, что нашли все украденные данные с помощью Raccoon Infostealer, и продолжают расследование.

Согласно судебным документам, некоторые из восстановленных данных включали регистрационную информацию для нескольких американских компаний и военнослужащих, имеющих доступ к системам вооруженных сил.

Leave a Comment