Сотни тысяч компьютеров атаковал тридцатилетний житель Анапы. Кибервойна между США и самым разыскиваемым российским хакером Евгением Богачевым началась весной 2009 года. Тогда ФБР обратило внимание на то, что недавние пропажи денег с банковских счетов ряда компаний объединяет нечто странное: все онибыли совершены с IP-адресов внутри самих компаний.

Как оказалось, компьютеры были заражены популярным в определенных кругах вирусом-трояном Zeus  — незаметным, гибким и эффективным. Кто придумал его, в ФБР не знали: этот человек был известен только по псевдонимам в Сети — Slavik, lucky12345 и еще нескольким, которые ничего не говорили о человеке.

Каверстори апрельского Wired рассказывает подробности восьмилетней безуспешной охоты за хакером. Republic выбрал из материала самое интересное.
Zeus проникал в компьютер стандартным способом — через фальшивый e-mail от Налогового управления США или уведомления от курьерской компании UPS, которые заставляли пользователя перейти по ссылке. В зараженном компьютере хакеры могли делать, что хотели: узнавать пароли, PIN, ответы на «секретные» вопросы и многое другое, как только пальцы владельцев касались клавиатуры.

Получая таким образом информацию, злоумышленники опустошали счета своих жертв. Кроме того, подцепившие вирус компьютеры можно было объединить в ботнет — сеть из тысяч машин, чьи ресурсы скрытно использовались. Постепенно Zeus стал любимым оружием киберпреступников. Его создатель Slavik вел себя в высшей степени профессионально — регулярно выпускал обновления для программы, устраивал бета-тестирование новых функций.

Денежные мулы

В 2009 году, когда ФБР уже наблюдало за деятельностью Slavik, пишет Wired, тот пошел дальше: начал собирать вокруг себя команду хакеров-единомышленников. Ущерб от их работы оказался огромным — все новые и новые случаи кибермошенничества сыпались на следователей, как спелые груши.

Когда в сентябре 2009 года ФБР сумело раздобыть переписку членов группировки на русском и украинском языках, они обнаружили упоминания о сотнях жертв. Чтобы обналичить украденное, мошенники пользовались услугами «денежных мулов» — десятков людей, которые ходили по банкам в Нью-Йорке, открывая там счета и снимая определенные суммы через несколько дней за скромный процент. Десятки тысяч долларов на счетах возникали из ниоткуда.

Сеть обнальщиков в США была лишь частью общей картины: впоследствии такие же схемы обнаружились в Румынии, Чехии, Великобритании, Украине и России. ФБР удалось связать с группой Slavik $70-80 млн, присвоенных таким образом, но реальная сумма, по мнению следователей, гораздо больше.

В 2010 году ФБР удалось провести аресты по всему миру и нарушить работу сети, но ключевые игроки ускользнули. Slavik, стоявший за всей схемой, так и остался
фантомасом — тем, кого никто никогда не видел.

Возвращение

Невидимый хакер затаился примерно на год, а затем, осенью 2011-го, независимые эксперты по кибербезопасности начали замечать, что в Сети появились новые варианты Zeus. Исходный код программы фактически оказался в открытом доступе, что позволило желающим адаптировать, улучшать и использовать его в своих целях. Но одна из версий отличалась от всех прочих: она была особенно сложной и имела дополнительные механизмы сохранения работоспособности при атаке со стороны.

Называлась она GameOver Zeus — «Игра окончена». Специалисты, изучавшие программу, пришли к выводу, что ее контролирует группа очень умелых хакеров под предводительством Slavik. Хакер не только вновь вернулся к активной деятельности, но и создал новую преступную группу — Business Club.

Первоначально Business Club работал с банками, причем метил на счета с шести- и семизначными суммами. Хакеры заражали компьютеры GameOver, перехватывали банковские данные и пароли, как только пользователь входил в свой аккаунт онлайн. Со счета снимали все деньги, а чтобы их владелец и сотрудники банка не успели заметить это, на экран выводилось сообщение об ошибке или сбое в работе, который длился несколько дней.

С помощью этой схемы за один день 6 ноября 2012 года, пишет Wired, на изумленных глазах ФБР злоумышленники украли $6,9 млн одной транзакцией. Скрыть такие огромные суммы с помощью обнальщиков в Бруклине уже было невозможно, и вместо этого хакеры прятали денежные переводы внутри самой банковской системы — в триллионных потоках легальных транзакций. Это, признают эксперты, стало революцией в организованной преступности: хакерам не нужно было даже приближаться к стране, из которой они выводили деньги.

Помимо банков злоумышленники не брезговали любыми суммами, большими и маленькими, лежащими на чьих угодно счетах — некоммерческих организаций, компаний и даже частных лиц. Именно группа Slavik ввела в практику кибершантаж, который процветает по сей день: хакеры заражают сторонние компьютеры программой, которая делает невозможным доступ к хранящимся на них файлам, и требуют с владельцев выкуп за снятие блокировки. Размер выкупа был сравнительно небольшим, в среднем  $500, но за счет массовости схема приносила неплохой доход.

Остановить Business Club пытались многие: с 2011-го по 2013 гг. коммерческие и некоммерческие специалисты по кибербезопасности предприняли несколько попыток, которые, однако, не увенчались успехом. Крестовый поход против сети Slavik вновь провалился. Именно тогда европейские специалисты решили объединиться с ФБР.

Глобальная операция

После неудачи с хакерами ФБР расстроилось, но не забыло. Отдел ведомства по борьбе с киберпреступностью в Питтсбурге следил  за успехами GameOver около года, когда с его руководителем Китом Муларски связались независимые эксперты по безопасности. Обычно Бюро не сотрудничает с частным сектором и не делится информацией, но цель — свалить ботнет разошедшегося Slavik — требовала исключений.

Команда Муларски начала собирать международный отряд для победы над хакерами, в который вошли специалисты из Великобритании, Швейцарии, Украины, Люксембурга и дюжины других стран, а также эксперты из Microsoft, McAfee, Dell SecureWorks и других профильных компаний.

Через несколько месяцев после начала объединенного расследования эксперты из голландской компании Fox-IT напали на важный след: они смогли отследить на британском сервере электронный адрес, который Slavik использовал для управления сайтами Business Club, а затем сумели сопоставить адрес с аккаунтом в одной из российских соцсетей, который наконец дал имя: Евгений Михайлович Богачев.

Только недели спустя расследователи поняли, что Богачев и есть тот, за кем они охотятся, — призрак, создавший Zeus и Business Club. Так выяснилось, что Slavik — это тридцатилетний  мужчина, живущий в Анапе.

Команда специалистов не смогла выявить прямой связи между хакером и российскими государственными структурами, но предположила, что он работает на российскую разведку: сразу после вторжения в Крым часть ботнета принялась искать засекреченные файлы Украины. По мнению экспертов, Slavik мог начать сотрудничать со спецслужбами в 2010 году, когда симулировал отход от дел, — возможно, в обмен на свободу.

Атака

К концу весны 2014-го, после года подготовки, команда борцов с киберпреступностью была готова начать атаку на организацию Slavik. Операцию назначили на 30 мая, проинформировав о ней Белый дом, и завершили только спустя 60 часов. Объединенная команда в Питтсбурге праздновала победу, Slavik перестал пытаться реанимировать свою сеть. 2 июня 2014 года, ФБР и министерство юстиции США предъявили Богачеву заочное обвинение по 14 пунктам.

В 2015 году ФБР объявило, что готово выплатить за информацию, ведущую к поимке Евгения Богачева, рекордную сумму — $3 млн, это максимальная награда, когда-либо назначавшаяся за киберпреступника. В конце декабря 2016 года США включили Богачева в санкционный список. Несмотря на все это, хакер остается на свободе, вне зоны досягаемости ФБР и Госдепартамента.

На сайте американского казначейства говорится,  “Богачев и его сообщники ответственны за кражу более $100 млн у финансовых учреждений и государственных агентств США”. В действительности сумма, скорее всего, больше, а круг пострадавших — шире, пишет  http://news.rusrek.com

Опубликовано: http://ukrvedomosti.com.ua