Хакер, укравший 150 млн рублей, работал с 25 сообщниками
Хакер, известный под псевдонимами «Гермес» и «Араши», об аресте которого в пятницу сообщило МВД, похитил из систем дистанционного банковского обслуживания более 150 миллионов рублей при помощи группы сообщников, в которой состояло около 25 человек. Это самая большая по численности участников киберпреступная группировка в России из тех, о которых известно специалистам по информационной безопасности.
Об этом рассказал РИА Новости Илья Сачков, генеральный директор компании Group-IB, принимавшей участие в расследовании деятельности данной преступной группы.
«По нашим данным, на Гермеса в течение 2011 года работала целая группа технических специалистов: заливщиков (распространителей вредоносного ПО), специалистов по шифрованию, администраторов, обслуживавших бот-сети, и других. Работа была организована грамотно — у каждого специалиста были свои обязанности, а Гермес координировал их деятельность. Всего их было около 25 человек», — рассказал РИА Новости Сачков.
Эксперт также отметил, что даже при таком большом «штате сотрудников» преступнику недоставало грамотных специалистов.
«По нашим данным, в 2011 году несколько заливщиков, участвовавших в деятельности группы, перед началом работы прошли обучение у Гермеса», — рассказал Сачков.
Данная информация указывает на основательность подхода, свойственную хакеру. Обычно киберпреступники не занимаются целенаправленным обучением специалистов, а просто временно нанимают их на одном из подпольных хакерских форумов.
Сачков отметил, что 25 человек — количество людей, задействованных лишь в техническом обеспечении преступной деятельности «Гермеса». Эта цифра не учитывает преступников, занимавшихся обналичиванием денег, которые являются неотъемлемой частью любой мошеннической схемы, связанной с хищением денежных средств через интернет. Однако «обнальщики» — это не хакеры, а по сути обычные преступники, обслуживающие и другие сферы криминальной деятельности, где требуется обналичивание.
ЭКСПЕРТ-САМОУЧКА
По словам Ильи Сачкова, арестованный в пятницу хакер — эксперт-самоучка. За его действиями в Group-IB следят с 2009 года, однако поначалу он не выделялся на фоне других киберпреступников. Пик активности деятельности группировки пришелся на период с 2010 по середину 2011 года, когда «Гермес» совершил основную часть хищений.
«За три года, в течение которых мы следим за деятельностью группы, ее методы менялись. В последнее время они использовали зарекомендовавшую себя в хакерских кругах троянскую программу Carberp, однако ранее в их арсенале было две других, менее эффективных программ. В частности, RDPdoor», — рассказал Сачков.
Эта вредоносная программа позволяла незаметно устанавливать удаленное соединение с «рабочим столом» жертвы и фактически действовать от ее имени, оформляя фальшивые платежные поручения. Все это время деятельность киберпреступной группы находилась в поле зрения правоохранительных органов и экспертов Group-IB.
«Нам известно, что в течение 2011 года МВД выходило на сообщников «Гермеса» — технических специалистов, которые на него работали. Но самого его долгое время не арестовывали — вероятно, не хватало доказательств», — рассказал Сачков.
ТРИ ИЗ ШЕСТИ
Эксперты различают банды киберпреступников между собой по различным признакам: в том числе, по типу вредоносного ПО, которое они использовали, и по методам заражения.
Группировка «Гермеса» стала третьей крупной группой киберпреступников, чья деятельность была пресечена в этом году. В марте МВД объявила о задержании восьми предполагаемых участников группы Carberp, которым, по данным Group-IB, удалось похитить более 150 миллионов долларов. В начале июня стало известно о задержании второй группировки, на совести которой не менее 125 миллионов рублей, похищенных у клиентов российских банков.
По данным МВД, «Гермесу» и его сообщникам удалось похитить минимум 150 миллионов рублей. В Group-IB считают, что в реальности эта сумма во много раз больше, хотя и не идет ни в какое сравнение с «результатами» ранее арестованных хакеров.
«Если сравнивать работу этой группы с бандой Carberp, о пресечении деятельности которой сообщалось в марте, то Гермес работал менее эффективно — людей много, а денег удалось украсть меньше», — сказал Сачков.
По его мнению, отчасти это можно объяснить тем, что первая группа работала с наиболее совершенной версией троянца Carberp.
«Ее автор входил в состав группы, и написал он эту программу под конкретные цели — похищать деньги из банков. Что же до третьей группы, то Carberp они взяли на вооружение относительно недавно, вскоре после того как на хакерских форумах появилась вторая версия Carberp. Она была создана на основе части кода оригинального троянца, но дорабатывалась уже другими людьми», — пояснил эксперт.
По данным специалистов Group-IB, сейчас на свободе остаются участники еще минимум трех киберпреступных групп, которые специализируются на хищении денежных средств у клиентов российских банков.
ЗАПАДНЫЙ СЛЕД
Carberp — распространенная среди киберпреступников вредоносная программа. Она собирает информацию о пользователе и системе и отправляет на сервер злоумышленников. Также бот может делать снимки экрана, перехватывать нажатия клавиш, содержимое буфера обмена и отправлять на сервер. Троянец имеет возможность самоудаления и установки дополнительных вредоносных модулей, крадет цифровые сертификаты для популярных систем дистанционного банковского обслуживания. Иными словами, программа практически идеально подходит для атак на системы ДБО.
Впервые о программе сообщила антивирусная компания Eset в ноябре прошлого года. Тогда, по данным компании, более 70% заражений Carberp происходило в России. Однако западные пользователи все же не остались без внимания хакеров.
Как рассказал Сачков, группа, которую возглавлял «Гермес», промышляла не только хищениями из банковских систем. Хотя Carberp создавался как программа, специально предназначенная для атак на банковские системы, хакеры приспособили ее и для других целей. В январе антивирусная компания Trusteer обнаружила версию Carberp, которая блокировала аккаунты в социальной сети Facebook и вымогала у владельцев этих аккаунтов деньги, которые нужно было передавать в виде денежного ваучера в системе Ukash (одна из систем электронных платежей, популярная на Западе). По словам Сачкова, хотя та атака была явно ориентирована на пользователей из западных стран, имеющиеся у компании данные позволяют утверждать, что и за Facebook-версией Carberp стояли российские киберпреступники.
По данным Group-IB, в 2011 году российским хакерам удалось похитить около 2,3 миллиарда долларов, что на миллиард долларов больше, чем в предыдущем году. По словам начальника управления информационной безопасности ОАО «Россельхозбанк» Артема Сычева, ежедневно в РФ фиксируется 15-20 попыток хищения денег из систем ДБО. При этом в среднем хакеры пытаются похитить около 400 тысяч рублей за один раз.
22/06/2012
16:13:00
*Facebook организация, деятельность которой запрещена на территории России.