Сотрудники ФСБ России арестовали восьмерых хакеров, которым только за последний квартал удалось похитить 4,5 млн долл. с различных банковских счетов с помощью программы-трояна, позволявшей вскрыть системы онлайн-банкинга. Об этом сообщила компания Group-IB, специализирующаяся на вопросах безопасности.
В группу входили семь граждан России и один гражданин Абхазии. Активность группы впервые была замечена в начале 2010 года. Группа использовала троян для проникновения в системы, как пояснил Майкл Санди, специалист по вопросам безопасности голландской фирмы Fox IT. Он оказывал помощь в расследовании на многих его стадиях. В расследовании помимо Fox IT, Group-IB и ФСБ участвовало Министерство внутренних дел России.
Использованный группой троян Caberb направлен против операционной системы Windows нескольких поколений — от Windows 2000 до Windows 7, как пояснил Санди. «Этот троян позволяет собрать поразительный объем данных», — сказал он. После самоустановки в систему, Caberb получает доступ к паролям и регистрационным данным.
Для самоустановки Caberb использует различные уязвимости браузеров, в том числе уязвимые места плагинов для Java и Flash. Проникнув в систему троян запускает так называемую процедуру man-in-the-browser. Размещенный в браузер Caberb злоумышленники использовали для запуска программы-сниффера протоколов для обнаружения паролей и регистрационной информации. Троян обеспечивал также необходимые возможности манипуляции трафиком для поддержки сайтов фишинга, чтобы попадая на них, пользователи не могли распознать, где они на самом деле находятся.
Вместе с трояном Caberb, для манипуляции системами использовалась вредоносная программа Rdpdor. По словам Санди, программа Rdpor разворачивала полный протокол Remote Desktop Protocol, позволявший злоумышленникам видеть то же, что пользователь видел на своем экране, и даже полностью получать управление зараженным компьютером.
Получив регистрационные данные для выполнения операций онлайн-банкинга, злоумышленники переводили средства на заранее открытый счет. Для более активного распространения вредоносных программ, злоумышленники проникали на популярные новостные сайты и сайты интернет-магазинов.
Целями хакеров становились в основном системы электронных банковских услуг в России, странах Восточной Европы и в Нидерландах. В 2010 году они действовали в Нидерландах, затем переключились на Восточную Европу, главным образом потому, что в здесь действовали шесть систем аутентификации, в то время как банки Нидерландов использовали свою собственную систему.
«Банки Восточной Европы используют неплохие системы аутентификации», — подчеркнул Санди, но отметил, что на руку злоумышленникам сыграло малое число таких систем.
И Group-IB, и Fox IT отметили, что арест всех участников криминальной группы представляет собой большую редкость. В ходе обычных мероприятий, направленных против киберпреступников удается арестовать лишь часть группы. Некоторые члены таких групп, чаще всего их лидеры, уходят от ответственности, поскольку их трудно идентифицировать. Легко найти только тех, кто напрямую управляет сетью зараженных компьютеров.
Именно целью правоохранительных органов — задержать всех членов группы — объясняется долгий срок расследования, которое заняло около полутора лет. Выявить лидера группы удалось в январе 2010. Следственные органы прикладывали огромные усилия для документации его деятельности, что было очень сложно, из-за его частых перемещений и периодических выездов за пределы Российской Федерации.