В начале июня Министерство юстиции США объявила об аресте 55-летней латвийской женщины, обвиняющейся в том, что она была программистом Trickbot — платформы «malware-as-a-service» для инфицирования миллионов компьютеров и установки на многие из этих систем ransomware.
Как же фриланс-дизайнер веб-сайтов и мать двух детей стала работать на одну из самых хищных киберпреступных групп, и почему она оставила настолько очевидный след, доказывающий её участие в команде? В этом посте мы ответим на эти вопросы, а также расскажем о том, как Trickbot и другие организованные киберкриминальные группы нанимают, готовят и обеспечивают лояльность новых программистов.
Личный веб-сайт Аллы Витте allawitte[.]nl, примерно октябрь 2018 года.
Вердикт, опубликованный Министерством юстиции (PDF), сильно отредактирован, в нём указана только одна из ответчиков: Алла «Max» Витте — 55-летняя гражданка Латвии, арестованная 6 февраля этого года в Майами, штат Флорида.
Министерство заявляет, что Витте несёт ответственность за «руководство созданием кода, связанным с мониторингом и отслеживанием авторизованных пользователей Trickbot, управлением и установкой ransomware, получением платежей от жертв ransomware, а также разработкой инструментов и протоколов для хранения идентификационных данных, украденных у инфицированных Trickbot жертв».
В вердикте также говорится, что Виттер создала для Trickbot Group код веб-панели, позволяющей получать доступ к данным жертв, хранящимся в базе данных. Согласно заявлению правительства, эта база данных содержала большое количество номеров кредитных карт и идентификационных данных, украденных из ботнета Trickbot, а также информацию об инфицированных машинах, которые использовались как боты.
«Витте создала код этого репозитория, показывающий разными цветами состояние инфицированного компьютера (»бота") и позволяющий другим участникам Trickbot Group узнать, когда их сообщники работают с конкретной инфицированной машиной", — говорится в вердикте.
Похоже, что вердикт и арест Витте были неизбежны: сложно представить обвиняемого киберпреступника, который бы совершил столь же поразительные ошибки новичка, чем эта гражданка Латвии.
Во-первых, похоже, в 2020 году Виттер хостила Trickbot на веб-сайте, зарегистрированном на её имя — allawitte[.]nl.
Несмотря на то, что киберпреступникам не стоит смешивать личную жизнь с работой, в социальных сетях Витте упоминается её близкий член семьи (возможно, сын или муж) с именем Макс (Max); предположительно, это имя было её хакерским ником.
В отличие от многих обвиняемых киберпреступников, являющихся выходцами из России или бывших советских республик, Витте не считала, что ей стоит избегать путешествий в страны, где её могут задержать правоохранительные органы США. Согласно её вердикту, Витте жила в южноамериканской стране Суринам и была арестована в Майами после прилёта из Суринама. Из вердикта непонятно, какой была её конечная точка.
Переведённый Google пост, который Витте опубликовала на своей странице «ВКонтакте» за пять лет до предполагаемого вступления в группу Trickbot.
Основатель занимающейся кибербезопасностью фирмы Hold Security Алекс Холден сказал, что самый серьёзный промах Витте совершила примерно на Рождество 2019 года, когда она инфицировала один из собственных компьютеров Trickbot, позволив ему украсть и зафиксировать её данные в интерфейсе ботнета.
«Она многократно повторно использовала одинаковые пароли, а данные демонстрируют подробную информацию о её профессиональном и личном пользовании Интернетом», — написал Холден в посте, посвящённом аресту Витте.
«Многие участники группы знали не только её пол, но и имя», — писал Холден. «У многих из них были папки с данными под названием AllaWitte. Они общались с Аллой почти так же, как со своими матерями».
Как же эта хакерша с детьми и полным отсутствием чувства самосохранения смогла устроиться на работу в одну из самых опасных в мире киберпреступных групп?
Несколько страниц правительственного вердикта посвящено процессу найма в группу Trickbot, которая постоянно прочёсывали российские и белорусские платные веб-сайты с вакансиями в поисках резюме ищущих работу программистов. Откликнувшимся на предложение группы предлагалось написать различные программы для проверки способности решать задачи и навыков кодинга.
Ниже приведёт фрагмент из переведённой переписки в мессенджере между двумя неназванными обвиняемыми из группы Trickbot. В ней они обсуждают кандидата, который сразу же понял, что его нанимают для участия в киберпреступных действиях.
Переписка между двумя участниками группы Trickbot с обсуждением потенциального нового сотрудника. Источник: Министерство юстиции США.
В представленной ниже переписке, приблизительно от 1 июня 2016 года, обсуждается потенциальный новый сотрудник Trickbot, успешно выполнивший задачу по модификации браузера Firefox.
Другие фрагменты переписок из вердикта дают понять, что большинство нанимаемых понимали, что проекты и тестовые задания, которые им давали, связаны с киберпреступной деятельностью.
«Большинство понимало, что это blackhat, и просило предоставить им коммерческие цели для атаки», — написал обвиняемый, обозначенный как Соучастник 8 (Co-Conspirator 8, CC8).
Но как насчёт новых сотрудников, которые не совсем понимали, как будут использоваться программы, которые их просят писать? Ещё один источник из отрасли исследования угроз, имевший к внутреннему устройству Trickbot, сообщил дополнительную информацию о том, как в группе выполнялся онбординг разработчиков.
«Там используется двухэтапный процесс, в котором ты поначалу может и не понимать, на кого работаешь. Но этот промежуток времени обычно довольно краток, меньше года», — рассказал источник.
После завершения этого этапа, если кандидат талантлив и усерден, один из участников группы Trickbot вводил новичка в курс дела, то есть доходчиво объяснял, как используется результат его работы.
«Если вы хорошо работаете, то в определённый момент вас вводят в курс дела, но если вы не справляетесь или вас это не устраивает, то они достаточно быстро принимают решение, и ваши услуги перестают требоваться. Но если вы продержались больше года, то вероятность того, что вы по-прежнему не понимаете, чем занимаетесь, чрезвычайно малы», — сообщает источник.
Согласно заявлению Министерства юстиции, Витте имела доступ к Trickbot в течение примерно двух лет, с 2018 по 2020 год.
Следователи сообщают, что до запуска Trickbot некоторые участники группы занимались распространением Dyre — особо скрытной программы для кражи паролей, используемых в различных банках. Правительственный орган сообщает, что участники Trickbot, и в том числе Витте, часто использовали пароли к банковским счетам, украденные при помощи их malware, для выкачивания денег со счетов жертв, и отправляли их в сети «дропов».
Используемая Trickbot модель найма позволяет группе дёшево и скрытно рекрутировать постоянный поток талантливых разработчиков. Но из-за этого возникает вполне реальная угроза того, что новые сотрудники позволят следователям проникнуть внутрь группы и возможно даже идентифицировать личности соучастников.
Почти все ransomware-атаки сегодня производятся партнёрскими ransomware-группами, которые постоянно нанимают новых участников, чтобы справляться с оттоком кадров, конкуренцией с другими ransomware-группами, а также арестом некоторых участников.
В рамках модели партнёрской ransomware-программы киберпреступник может получить до 85% выкупа, выплаченного компанией-жертвой, которую он скомпрометировал. Время от времени низкий уровень безопасности операций партнёров подвергает опасности работу всей группы.
7 июня Министерство юстиции США объявило о том, что ему удалось вернуть биткойны на сумму 2,3 миллиона долларов, выплаченные в прошлом месяце Colonial Pipeline ransomware-вымогателям. Средства были отправлены DarkSide — синдикату ransomware-as-a-service, который был распущен 14 мая, отправив своим партнёрам прощальное письмо. В нём сообщалось, что его Интернет-серверы и хранилище криптовалюты были конфискованы неизвестными органами правопорядка.
«Поступления платежей жертв с выкупами переводились на определённый адрес, к которому в ФБР был „приватный ключ“ — нечто вроде пароля, необходимого для доступа к ресурсам, доступным через биткойн-адрес», — довольно таинственно сообщает Министерство юстиции.
Многие специалисты по безопасности быстро разобрались, как следователям удалось вернуть средства, представлявшие собой не полную сумму, которую выплатил Colonial (около 4,4 миллиона долларов): возвращённая сумма примерно равна той доле, которую партнёр DarkSide получил бы за инфицирование компьютеров malware, которое предшествовало ransomware-атаке.
На правах рекламы
Наша компания предлагает аренду виртуальных серверов с Windows или Linux. Не экономим на железе — только современное оборудование и одни из лучших дата-центров в России и ЕС. Поспешите проверить!
Подписывайтесь на наш чат в Telegram.
Автор: Mikhail
