Полиция ликвидировала международный хакерский форум

Александр Панасенко 20 Июля 2015 - 13:26

...

В ходе международной полицейской спецоперации ликвидирован крупнейший мировой хакерский форум Darkode. Об этом сообщается на сайте Министерства юстиции США. В ликвидации хакерской группировки принимали участие полицейские силы 20 государств.

Общее руководство осуществляло Федеральное бюро расследований США при поддержке Европейского центра борьбы с киберпреступлениями.

"Хакеры и те, кто получает прибыль от украденной информации, используют подпольные интернет-форумы для уклонения от легальной деятельности и неправедной наживы на невинных людях во всем мире, цитирует источник помощника Генпрокурора США Лесли Р. Колдуэлла (Leslie R. Caldwell). Эта операция является отличным примером того, чего может достичь осуществление международного права тогда, когда мы тесно сотрудничаем ради нейтрализации глобального рынка киберпреступности".

Организаторы спецоперации арестовали от 60 до 70 человек в разных странах мира, включая Израиль, Германию, Великобританию, Австрию, Индию и Румынию. Как уточняет Интерфакс, в европейских странах задержано 28 лиц, проведено 38 обысков, конфисковано большое количество компьютеров и носителей данных. В США, по данным американского Минюста, уже предъявлены обвинения 12 лицам, связанным с этим форумом.

В ходе операции управление форумом было перехвачено, а на его сайте размещено объявление о закрытии.

Darkode возник в 2009 году как площадка для торговли и обмена вредоносными кодами, ботнетами, украденными данными кредитных карточек и другими средствами, используемыми при киберпреступлениях. Минюст США отмечает, что из примерно 800 мировых англоязычных интернет-форумов киберпреступников этот был одной из самых серьезных угроз целостности данных на компьютерах всего мира.

"Благодаря проведенной работе, мы разворошили осиное гнездо хакеров, которые, как полагали многие, в том числе и они сами, были недосягаемы для правосудия", - приводит ведомство слова федерального прокурора США по округу Западная Пенсильвания Дэвида Джей Хиктона (David J. Hickton).

Кстати, как следует из указанного заявления Минюста США, к деятельности форума Darkode причастен 26-летний русский хакер из Твери Александр Панин, известный в криминальном кибермире как Gribodemon. Ранее он был арестован в связи с разработкой вредоносного банковского трояна SpyEye, предназначенного для кражи финансовой и персональной информации. Минюст отмечает, что 28 января 2014 года Панин признал себя виновным.

Теперь же выяснилось, что Панин вместе с еще одним хакером, задержанным в ходе международной спецоперации, разглашали технологию другим хакерам на Darkode. Доказательства преступной деятельности обоих содержатся на одном из серверов, используемых для управления SpyEye - с его помощью была украдена информация из примерно 253 уникальных финансовых институтов по всему миру.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 22 Января 2025 - 15:03

PT Expert Security Center Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Positive Technologies

Российские компании атакует неуловимая кибергруппировка

С мая 2023 года финансовые подразделения российских компаний атакует ранее неизвестная группировка DarkGaboon. Её особенностью является использование вредоносной программы Revenge RAT и поддельных документов, имитирующих легитимные материалы финансовой тематики.

Активность DarkGaboon впервые привлекла внимание департамента киберразведки Positive Technologies (PT Expert Security Center) в октябре 2024 года, когда была обнаружена волна атак с использованием Revenge RAT, нацеленная на российские финансовые структуры.

Хотя первые версии этой программы появились ещё в 2018 году, исследователи выявили, что элементы инфраструктуры злоумышленников носят названия, связанные с африканской тематикой. Это позволило связать их с новой финансово мотивированной APT-группировкой, названной DarkGaboon в честь габонской гадюки, обитающей вблизи горы Килиманджаро.

В октябре 2024 года группировка атаковала один из российских банков. В филиал банка было отправлено письмо с темой «Сверка взаиморасчётов». Оно содержало грамотно составленный текст на русском языке, касающийся бухгалтерии, и архив-приманку «Акт сверка.z». В архиве находились таблица Excel, пояснительная записка и вредоносный файл, замаскированный под PDF-документ.

Рассылки осуществлялись с ранее скомпрометированного аккаунта Gmail. Управляющий сервер находился за пределами России и использовал адрес 31.13.224[.]86 с панелью управления Revenge RAT. Домены, связанные с инфраструктурой, формировали кластер под названием "kilimanjaro", при этом сами серверы располагались в Европе.

Вредоносная программа защищена криптером с использованием алгоритма AES и обфускацией .NET Reactor. Все образцы Revenge RAT подписаны поддельными сертификатами X.509. Для обхода эвристического анализа зловред активирует пятиминутный таймер, после чего начинается извлечение и расшифровка полезной нагрузки.

Программа закрепляется в системе через каталог автозапуска или директорию C:\Users<user>\AppData\Roaming, внося изменения в реестр Windows. После закрепления Revenge RAT собирает информацию о системе и отправляет её на управляющий сервер.

DarkGaboon регулярно обновляет свои вредоносные программы и документы-приманки, используя четыре основных шаблона с небольшими изменениями. Эта стратегия позволила долгое время оставаться незамеченными. С марта 2024 года частота обновлений увеличилась, что может указывать на рост активности группировки.

Основные жертвы DarkGaboon — российские компании. Среди пострадавших оказались банки, предприятия розничной торговли, сферы услуг, спорта и туризма.