Недавно был вскрыт один из самых крупных сговоров с целью ограбления банков, в рамках которого российские киберпреступники собирались при помощи многочисленных фиктивных денежных переводов украсть миллионы долларов у 30 крупных финансовых институтов США. По словам аналитиков из сферы безопасности, свое преступление они планировали осуществить до весны 2013 года.
Главная причина, по которой проект «Блицкриг» был разоблачен, состояла в том, что предполагаемый организатор преступной схемы, киберпреступник с хакерским псевдонимом «vorVzakone», размещал на подпольном форуме в онлайне объявления, набирая себе в группировку сообщников.
Послания «вора в законе», включая картинки с его компьютерными настройками, экранные снимки его хакерских программ, а также общее описание плана по сбору армии из 100 «ботмастеров» для проведения атак на банки, были весьма соблазнительны, но одновременно и очень подозрительны – по крайней мере, вначале.
А может, это хвастовство просто свидетельствует о действиях российской полиции, которая готовит операцию с внедрением агента для поимки потенциальных киберворов? Нет. Новые данные говорят о том, что сговор вполне реален, и в рамках подготовки преступления уже многое сделано с того момента, как о нем стало впервые известно в октябре. Об этом говорится в появившемся во вторник сообщении, которое опубликовала фирма кибербезопасности McAfee из калифорнийского города Санта-Клара.
Читайте также: Кибер-война и мир
«McAfee считает, что проект «Блицкриг» — это реальная угроза финансовой отрасли, и похоже, что он продвигается в соответствии с планом», — говорится в сообщении.
«Мы не только нашли доказательства, подтверждающие осуществление первоначальной пробной операции под руководством «вора в законе» и его группировки с использованием трояна Prinimalka, которым было заражено как минимум 300-500 компьютеров в США, но также сумели отследить дополнительные операции по сообщениям на форуме».
Вместе с тем, в сообщении McAfee отмечается, что, благодаря обнаружению и разоблачению сообщений «вора в законе», подготовка преступления была заторможена. Другие аналитики сообщают, что реализация сговора из-за разоблачения могла замедлиться, быть полностью сорванной – или продолжаться в соответствии с планом, как утверждает фирма McAfee.
«Вор в законе» в своем первом сообщении преступному киберподполью от 9 сентября 2012 года предлагал провести доселе невиданную массовую атаку, собрав воедино неорганизованные ячейки хакерского преступного сообщества. Замысел заключался в организации взаимодействия и использовании слабостей и недостатков американских банков в установлении подлинности телеграфных денежных переводов.
«Цель – совместно, массово и одновременно обработать большой объем обусловленного материала, прежде чем будут усилены меры борьбы с обманом», — написал в своем сообщении «вор в законе». Перевод его сообщения сделал блогер из сферы кибербезопасности Брайан Кребс (Brian Krebs).
Также по теме: Китай — бумажный тигр в киберпространстве?
McAfee в своих выводах в основном подтвердила и расширила более ранние разоблачения, которые сделало подразделение корпорации EMC Corp из Бедфорда (штат Массачусетс) RSA, занимающееся вопросами кибербезопасности. Это подразделение опубликовало свои выводы о проекте «Блицкриг» в блоге компании в октябре месяце.
McAfee и RSA сходятся во мнении, что «вор в законе» пытался включить потенциальных сообщников в процесс «начальной подготовки», в рамках которого «производится индивидуальный отбор ботмастеров и их обучение, после чего они получают право на долю от украденных со счетов жертв средств». Как сообщили в октябре аналитики RSA, эти средства планируется перевести на счета посредников, которые контролирует банда хакеров.
«Чтобы гарантировать настойчивую и упорную работу всех, каждый ботмастер отбирает собственного «инвестора», который выделит деньги, необходимые для покупки оборудования в целях проведения операции (серверы, ноутбуки), а за это получит свою долю от незаконных доходов. Банда и ее многочисленные сообщники также получат свою долю украденного. Деньги получат и разработчики вредоносных программ».
Ключевой особенностью преступного замысла стала идея закупки оборудования для перегрузки телефонных линий, чтобы банки, стремящиеся связаться с жертвами и проверить, настоящий денежный перевод или нет, не смогли до них дозвониться, потому что цифровые линии будут заблокированы. В это время мошенники смогут звонить в банки, представляясь владельцами счетов, и подтверждать операции по переводу.
Читайте также: Российский гражданин обвиняется в киберпреступлениях
Как считают RSA и McAfee, в запланированной атаке преступники намерены использовать особенно неприятную вредоносную программу Prinimalka, которая сама по себе является малоизвестным частным вариантом преступного хакерского вредоноса Gozi, созданного специально для кражи банковских логинов и прочей информации.
Коварная разница между двумя этими программами заключается в том, что Prinimalka клонирует компьютер жертвы, отсылая в Россию все его переменные параметры, чтобы «виртуальная машина» могла собрать поддельную версию компьютера жертвы со всеми идентификационными файлами, маркерами, с той же самой операционной системой и с идентичной конфигурацией ПО. После этого на поддельном компьютере можно работать в России, а системы безопасности банка будут принимать его за вполне нормальную машину жертвы, которая сидит и работает за своим компьютером где-то в США.
«Их метод заключается в том, чтобы по сути дела клонировать компьютер жертвы. В таком случае клоном можно будет управлять из любой точки мира, — говорит Дэниел Коэн (Daniel Cohen), возглавляющий подразделение RSA, занимающееся внешними кибернетическими угрозами. – Банку кажется, что компьютер принадлежит какому-нибудь Джо Шмо, сидящему где-то в Америке».
McAfee отмечает, что до настоящего времени проект «Блицкриг» был вполне реален в плане осуществления, обосновывая это тем, что она проследила вредоносные программные средства, установленные на машинах жертв по всей территории США. Однако вполне возможно, что после его разоблачения заговор преступников был сорван. Либо они просто затаились. Либо продолжают его подготовку.
Также по теме: Интерес Пентагона к кибербезопасности
«В некоторых последних сообщениях утверждается, что «вор в законе» отменил свою атаку, потому что о ней стало известно, — отмечается в аналитическом отчете McAfee. – Однако нельзя исключать, что разоблачение просто заставило его уйти в глубокое подполье и оттуда продолжать свою деятельность».
Когда эту тему подхватили средства массовой информации, «вор в законе» написал последнее сообщение о том, что «ситуация слишком накалилась, слишком много внимания СМИ», отмечает Коэн.
«Человек, отвечающий за перегрузку телефонных линий, написал на форуме, что он сейчас без работы и готов выслушать любые предложения. Мы следим за «вором в законе», которые ушел глубже на подпольные форумы, но не замечаем его сообщений. А члены форума жестко критикуют его за то, что он привлек к ним слишком много ненужного внимания».