История обмана самого разыскиваемого киберпреступника мира. Он живет в Анапе

За российского хакера Евгения Богачева ФБР предлагает 3 миллиона долларов. Это самое большое вознаграждение, которое предлагают за киберпреступника. Но это лишь малая часть того, что Богачеву удалось заработать обманным путем.

Богачев, известный под псевдонимами «Slavik», «lucky12345», «Pollingsoon», «Monstr», «IOO» и «Nu11», создал бот-сеть Gameover ZeuS, основанную на вирусах-троянах.

Ботнет – это группа компьютеров, в которые тайно запускают вредоносные программы, заставляющие их выполнять действия без ведома своих законных владельцев.

Между 2012 и 2013 годом Богачев с командой держали под контролем от полумиллиона до миллиона компьютеров по всему миру.

Противостояние ФБР и Богачева продлилось почти 10 лет. Первые заражения компьютеров вирусом ZeuS произошли в 2006-2007 годах. Но впервые ФБР обратило внимание на него только в 2009 году, когда у двух компаний были украдены деньги на общую сумму более полумиллиона долларов. И было установлено, что оба компьютера, с которых были выведены средства, оказались заражены одинаковым вирусом.

Он проникал в систему через e-mail-спам и баннеры, которые при нажатии загружали в систему вирус. После этого он похищал логины и пароли пользователей, фиксируя все нажатия клавиш и отправляя эту информацию мошенникам. Вирус был красиво сделан и имел высокую эффективность, но его создателю захотелось большего. Тогда и был создан Gameover ZeuS (GoZ), для которого Богачев собрал команду элитных хакеров. Его целью становились крупные компании и государственные учреждения, у которых можно было бы украсть большие суммы сразу.

Gameover ZeuS как и другие ботнеты управлялся с нескольких серверов, что делало его уязвимым: его можно заблокировать и вывести из строя. Но его создатель использовал несколько приемов, которые позволяли ему оставаться в безопасности годами. Например, у операторов GoZ была возможность быстро переносить управление с одного сервера на другой при блокировке какого-то из них. А для усложнения отслеживания использовалась одноранговая архитектура (peer-to-peer): не все зараженные компьютеры были связаны с командным пунктом, они передавали данные друг другу, запутывая следы. У преступников был свой зашифрованный чат Jabber Zeus, чтобы координировать действия во время атак.

Более того, на случай потери управления над ситуацией, был предусмотрен следующий механизм: каждую неделю зараженные компьютеры генерировали по тысяче новых доменов, которые позволяли заправить информацию с каждой машины, на случай если управление было перехвачено.

Также бережно Богачев охранял и банковские счета. Чтобы не переводить похищенные деньги на собственные банковские аккаунты, он нанимал так называемых «денежных мулов», которые участвовали в выводе денег. Обычно это были эмигранты или временно безработные люди. Им надо было просто открыть счет на свое имя и совершить не очень крупную операцию по съему средств, которая не привлекла бы внимания правоохранительных органов.

Эта структура не до конца устраивала Богачева: очень много людей завязаны в эту схему и их действия трудно контролировать. Тогда он и его команда выпустили Cryptolocker – вирус, который шифровал все данные на компьютере и требовал выкуп в биткоинах. Самостоятельно получить данные обратно не представлялось возможным. Чтобы у обычных пользователей не возникало дополнительных сложностей, Cryptolocker высылал подробную инструкцию, как купить и отправить криптовалюту. Сумма выкупа доходила до 750 долларов с одного человека.

Как и во всех финансовых преступлениях, связанных с GOZ, нет убедительных доказательств того, сколько денег Cryptolocker удалось получить от своих жертв. По приблизительным данным программа собрала примерно $27 миллионов в течение двухмесячного периода в 2013 году, с 15 октября до 18 декабря.

В ходе операции под кодовым обозначением «Tovar» с ФБР сотрудничали спецслужбы Украины, Канады, Франции, Люксембурга, Голландии и Великобритании. Совместными усилиями удалось обезвредить большую часть ботнета, изъять сервера с данными и вылечить зараженные компьютеры.

ФБР собирала информацию по крупинкам. Например, им удалось найти нескольких «денежных мулов». Также удалось найти сайт, на котором злоумышленники общались между собой. ФБР прочесывало российские хакерские форумы, и все это позволило идентифицировать Богачева как главу этой схемы.

Читать еще: В Великобритании хакер попал в тюрьму. По фану

Против 30-летнего россиянина Евгения Михайловича Богачева и его сообщников, обвиняемых в мошенничестве, похищении личных данных и отмывании денег, заведены в США три дела, одно гражданское в Пенсильвании и два уголовных, в Пенсильвании и Небраске. Но российская сторона не выдает его США. По некоторым данным, Богачев продолжает жить в Анапе.

Источники: nautil.us, compromatwiki.org