Хакер, остановивший WannaCry, признался в создании банковского трояна Kronos

23.04.2019   \  Это интересно

Москва, 23 апреля - "Вести.Экономика". Британский программист и специалист по кибербезопасности Маркус Хатчинс, который в 2017 году сумел остановить вирус-вымогатель WannaCry, признал свою вину в суде в создании другого вредоносного программного обеспечения (ПО), сообщает газета The New York Times.

Маркус Хатчинс, гражданин Великобритании, владелец сайта и блога о вредоносном ПО и информационной безопасности MalwareTech, был арестован в августе 2017 года, когда должен был вылететь обратно в Великобританию после конференции по безопасности Def Con в Лас-Вегасе. Прокуроры обвинили Хатчинса в его причастности к созданию банковского трояна — Kronos, который использовался для похищения информации о банковских онлайн-операциях и данных кредитных карт.

В руки журналистам попала копия обвинительного заключения — из него стало известно, что Хатчинса и еще одного подельника (его имя в интересах следствия пока не разглашается) обвиняют в создании и продвижении на хакерских форумах банковского трояна Kronos, пик активности которого пришелся на 2014-2015 годы. Весной 2015 года, говорится в обвинительном заключении, неназванный партнер Хатчинса рекламировал Kronos на крупнейшей нелегальной площадке в DarkNet — форуме AlphaBay. До недавнего времени здесь можно было купить наркотики, поддельные документы, инструменты для шпионажа и взлома.

В июле 2017 года ФБР при содействии полицейских подразделений нескольких стран Европы и Азии провело масштабную операцию: в Канаде и Нидерландах были арестованы сервера AlphaBay, а в Таиланде был задержан один из администраторов сайта Александр Казес (Alexander Cazes), известный под псевдонимом Alpha02. До суда он не дожил — его нашли повешенным в своей камере. А эксперты ФБР, исследуя сервера AlphaBay, установили не только покупателей, но и администраторов и продавцов. В их числе, вероятно, оказались и создатели Kronos. Соглашение о признании вины было подано в суд Восточного округа Висконсина, где до этого проходило обвинение Хатчинса. Суд над ним должен был продолжиться позднее в этом году. Маркус согласился признать себя виновным в распространении трояна Kronos. Он также согласился признать себя виновным во втором пункте обвинения — продаже трояна другому лицу.

ИСТОРИЯ ВОПРОСА

Российские пользователи сталкивались с трояном Kronos. Как сообщала Group-IB, в мае 2015 года клиенты крупного российского банка получили письма с требованием срочно предоставить выписку по расчетному счету в налоговую инспекцию. Письма были отправлены якобы от самой финансовой организации, но под видом файла «налоги.exe» скрывался троян Kronos. Загрузившись на компьютер, вирус похищал деньги с помощью подмены веб-страниц (функционал веб-инжектов) в браузере, в тот самый момент, когда клиент заходил на страницу интернет-банка и совершал транзакцию.

Проводя расследование, специалисты Group-IB получили доступ к административной панели Kronos. Выяснилось, что украденные деньги переводятся на счета двух российских компаний. По одной из версий, после того, как деньги обналичивались дропами, они могли быть выведены из страны.

По своему функционалу и формату правил веб-инъекций Kronos был похож на другой известный троян — ZeuS. ZeuS, появившийся еще в далеком 2007 году, не зря называют "королем троянов". Он был одним из самых продаваемых вредоносов на хакерских форумах, а после того, как его исходный код был выложен в открытый доступ, стал одной из самых популярных программ-шпионов на черном рынке.

Первые объявления о продаже трояна Kronos на подпольных хакерских форумах появились летом 2014 года. Первоначальная цена этого трояна составляла $7 000 с "пожизненной лицензией" и $1 000 за тестовую лицензию. Потом цена была снижена до $3 000 «с обновлениями, полной поддержкой, а также командой и инструкцией по вводу документации».


«Как вы, возможно, знаете, я признал вину по двум обвинениям, связанным с созданием вредоносного ПО за годы до того, как начал работать в сфере безопасности. Я жалею о том, что совершил, и в полной мере принимаю ответственность за свои ошибки», — заявил сам Хатчинс.

«Повзрослев, с тех пор я использую те же навыки, которыми я злоупотреблял несколько лет назад, в конструктивных целях», — рассказывает Маркус. «Я буду продолжать уделять время защите людей от атак вредоносного программного обеспечения в будущем».

По каждому из двух пунктов обвинения максимальным наказанием является лишение свободы сроком на пять лет, штраф в размере $250 тыс., один год условно и $100 специального налогового сбора. В общей сложности по двум пунктам обвинения исследователю грозит десять лет тюрьмы и $500 тыс. штрафа. Согласно условиям досудебной сделки со следствием, остальные восемь пунктов обвинения будут сняты в ходе судебного заседания.

Масштабная кибератака WannaCry по всему миру с 12 мая 2017 года затронула более 200 тысяч пользователей в 150 странах. Маркус Хатчинс в том же месяце нашел "выключатель" вируса, что и помогло обезвредить вредоносную программу. Хакер обнаружил в коде WannaCry проверку несуществующего домена — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Оказалось, что вредоносная программа обращался с запросом о существовании этого домена и зашифровал файлы на компьютере только после того, как не получал ответа по указанному адресу. Зарегистрировав доменное имя на себя, Маркус остановил распространение WannaCry, что принесло ему определённую известность и славу. Впрочем, некоторые лица высказали мнение, что Хатчинс сам мог быть причастен к разработке вымогателя, но эта теория не получила поддержку и не была подкреплена какими-либо доказательствами.

Источник

Авторизуйтесь, чтобы оставить комментарий.
Новости АРБ    Сегодня 16:15

Защиту персональных данных обсудили на пресс-конференции в ТАСС

24 июня в ТАСС состоялась пресс-конференция в формате круглого стола, посвященная вопросам сохранности персональных данных клиентов банковской системы и способам их защиты.

Это интересно    Сегодня 16:09

Ущерб Грузии от полной потери туристов из России оценили в $100 млн

По оценке Transparency International Georgia, такими будут потери в случае перекрытия Россией для туристов не только авиасообщения, но и сухопутной границы.

Это интересно    Сегодня 12:14

Group-IB нашла вирус-шифровальщик, который научился майнить криптовалюту

Международная компания Group-IB зафиксировала вирус-шифровальщик, который теперь способен майнить (производить) криптовалюту, а также увеличивать трафик на веб-сайты, говорится в сообщении компании.

   

Мы на Facebook